PeakLight恶意软件活动分析

admin 2024年10月21日15:54:09评论8 views字数 1766阅读5分53秒阅读模式

扫码领资料

获网安教程

PeakLight恶意软件活动分析

PeakLight恶意软件活动分析

Track安全社区投稿~  

千元稿费!还有保底奖励~(https://bbs.zkaq.cn)

PeakLight恶意软件

在过去几个月中,PeakLight恶意软件因其通过CDN链接(内容交付网络)进行的激烈感染活动而备受关注。这种活动负责诱使用户执行编码的命令行或通过伪造的验证码和/或验证门户执行恶意工件。

PeakLight恶意软件活动分析

img

它旨在通过不同的持久性和规避保护与检测的技术,例如通过 LOLBINS 的 间接执行 和 多阶段感染链,窃取信息并控制受感染的计算机。同时,它利用具有全局权限的目录来便于恶意软件的部署。由于其模块化特性,它既使用合法工件(由合法公司生成的不同软件),也使用负责完成感染过程的恶意工件。

感染链

根据各种情报来源,初始感染点是通过互联网上不同页面存在的广告和弹出窗口进行的,这些广告和弹出窗口会重定向到一个域名为 .b-cdn.net/ 的网站,该网站包含一个验证验证码,指示用户在系统上打开 Run 并粘贴一个值。

PeakLight恶意软件活动分析

img

上述字符串在通过 document.execCommand() 函数点击检查按钮时会自动复制到剪贴板,脚本指定要复制的值将是一个 Base64 编码的 Powershell 命令,该命令执行 Mshta.exe “”。

PeakLight恶意软件活动分析

img

为了使感染链继续,受害者必须手动执行这些步骤,以正确生成部署工件的条件。这可以通过具有 Explorer.exe 父进程的 Powershell.exe 执行来识别。

例如,这种执行被记录为事件 ID 1 (进程创建),指示了上述参数。

PeakLight恶意软件活动分析

img

因此,可以看出,PowerShell 行 中包含的 Payload 对应于 Mshta.exe 命令行,该命令通过 mshta.exe 执行 “clicktogo[*]click/Downloads/tra3” 的 间接执行

PeakLight恶意软件活动分析

img

PeakLight恶意软件活动分析

img

tra3 生成的内容对应于一个经过压缩的 JavaScript 文件,该文件经过双重混淆,混淆方式是通过变量位置替换值。

PeakLight恶意软件活动分析

img

一旦第一阶段被解混淆,就会观察到调用不同函数,这些函数负责通过 ActiveXObject 函数(用于创建 COM 对象的函数)执行第二次解混淆过程的结果,该结果包含在 Bin 变量中。

PeakLight恶意软件活动分析

img

在第二阶段之后,可以看到解混淆的脚本,它创建了 WScript.Shell 对象,以使用包含通过 AES 协议加密的 Powershell 脚本的 Bin.Run 执行系统命令行。

PeakLight恶意软件活动分析

img

该执行会与 clicktogo[*]click/Downloads/tar3.zip URL 建立网络连接(此 URL 是在解密和解混淆 Powershell 命令行后获得的)。

PeakLight恶意软件活动分析

img

该过程负责下载并在系统上建立攻击者在攻击链中使用的各种工具。

PeakLight恶意软件活动分析

img

PeakLight恶意软件活动分析

img

生成的工具之一是 Setup.exe,它在执行加密的 PowerShell 时会自动运行,进而生成 more.com 进程和 conhost.exe 线程。

PeakLight恶意软件活动分析

img

More.com 进程会在 Setup.exe 进程结束后大约 15 秒生成另一个名为 RewardFlaccid.a3x 的进程。

PeakLight恶意软件活动分析

img

一旦 RewardFlaccid.a3x 生成的网络活动结束,该进程就会被终止,感染链也随之结束,所有恶意工具已在受害者的计算机上部署完成。

感染链

根据所做的分析,感染过程可以总结为 4 个阶段(图 3.1):

1.初始阶段: 对包含与 PeakLight 攻击活动 相关的广告和/或弹出窗口的网站进行互联网浏览。
2.接入点: 用户按照攻击者网站上列出的手动执行指令上当受骗。
3.执行点: 由于终端执行命令行没有限制,导致 Mshta.exe 的间接执行,从而负责下载恶意工具。
4.部署点: 一旦恶意工具被下载,它们会被部署在 AppDataLocal* 目录中并自主运行,通过 TLS 与攻击者网站建立网络连接,最终完成感染过程。
PeakLight恶意软件活动分析

img

以上内容由白帽子左一翻译并整理。原文:https://infosecwriteups.com/peaklight-campaign-mshta-a7f45aec50ab

声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。

原文始发于微信公众号(白帽子左一):PeakLight恶意软件活动分析

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月21日15:54:09
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   PeakLight恶意软件活动分析http://cn-sec.com/archives/3295405.html

发表评论

匿名网友 填写信息