点击蓝字 关注我们
免责声明
本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。
如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关内容。
文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用,任何人不得将其应用于非法用途及盈利等目的,间接使用文章中的任何工具、思路及技术,我方对于由此引起的法律后果概不负责。
添加星标不迷路
由于公众号推送规则改变,微信头条公众号信息会被折叠,为了避免错过公众号推送,请大家动动手指设置“星标”,设置之后就可以和从前一样收到推送啦
关于
通过DNS TXT记录展示新的DarkGate安装脚本检索技术
DarkGate安装脚本检索通过DNS TXT记录
最近,我看到了来自Unit 42的一条推文,展示了DarkGate使用的一种有趣的新技术,以便通过DNS TXT记录检索DarkGate安装脚本,导致DarkGate在最近的活动中感染了受害者机器。
我通过DNS TXT记录为新的DarkGate安装脚本检索技术开发了一个插件,并将其上传到以下存储库中,其中包括-
-
带有嵌入链接的PDF(名称:Bank-Statement-poc.pdf)
-
ZIP Archive ( 文件 名 :Bank-Statement-20231523-poc.pdf.zip)
-
由LNK(DNS)文件组成,该文件通过DNS TXT记录检索安装脚本(名称:Bank-Statement-20231523-poc.pdf.lnk)
免责声明:该插件不包含任何恶意代码=)-它也是一个工作插件,所以你可以很容易地使用它
感染链:工作
在类似于ITW DarkGate运动中看到的感染链中,
首先,我们打开PDF(Bank-Statement-poc.pdf),其中包含一个嵌入式链接,单击该链接时会下载ZIP存档(Bank-Statement-20231523-poc.pdf.zip)
ZIP存档由一个LNK(ZIP)文件组成,一旦执行该文件,就会运行一个命令,该命令使用nslookup从我的测试域“pocdomain[.] linkpc[.] net”。此外,我还定制了LNK命令,因为ITW示例中的命令不稳定。然后,该命令解析检索到的TXT记录,并将其保存在TEMP目录中作为“poc.cmd”,然后进一步执行它。
在下面的屏幕截图中,您可以看到使用nslookup for pocdomain[.] linkpc[.] net.如所见,TXT记录由命令组成;)
现在,如前所述,解析TXT记录响应中的命令,取消引用,然后在TEMP目录中保存为“poc.cmd”,并进一步执行-这反过来将执行calc.exe|等待5秒|kill这calc进程并且删除“poc.cmd”
完整的过程树沿着可以看到下面的命令:
还可以看到检索到的TXT记录:
在DarkGate ITW示例的情况下,恶意LNK文件从域中检索的TXT记录包括下载autoit3和恶意.au3文件副本的命令,进一步导致DarkGate感染,如下所示
图片来源- Unit42_Intel
项目地址
https://github.com/knight0x07/DarkGate-Install-Script-via-DNS-TXT-Record欢迎关注SecHub网络安全社区,SecHub网络安全社区目前邀请式注册,邀请码获取见公众号菜单【邀请码】
联系方式
电话|010-86460828
官网|http://www.secevery.com
关注我们
公众号:sechub安全
哔哩号:SecHub官方账号
原文始发于微信公众号(SecHub网络安全社区):通过DNS txt记录在PDF中更新后门payload
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论