扫码领资料
获网安教程
来Track安全社区投稿~
千元稿费!还有保底奖励~(https://bbs.zkaq.cn)
PeakLight恶意软件
在过去几个月中,PeakLight恶意软件因其通过CDN链接(内容交付网络)进行的激烈感染活动而备受关注。这种活动负责诱使用户执行编码的命令行或通过伪造的验证码和/或验证门户执行恶意工件。
它旨在通过不同的持久性和规避保护与检测的技术,例如通过 LOLBINS 的 间接执行 和 多阶段感染链,窃取信息并控制受感染的计算机。同时,它利用具有全局权限的目录来便于恶意软件的部署。由于其模块化特性,它既使用合法工件(由合法公司生成的不同软件),也使用负责完成感染过程的恶意工件。
感染链
根据各种情报来源,初始感染点是通过互联网上不同页面存在的广告和弹出窗口进行的,这些广告和弹出窗口会重定向到一个域名为 .b-cdn.net/ 的网站,该网站包含一个验证验证码,指示用户在系统上打开 Run 并粘贴一个值。
上述字符串在通过 document.execCommand() 函数点击检查按钮时会自动复制到剪贴板,脚本指定要复制的值将是一个 Base64 编码的 Powershell 命令,该命令执行 Mshta.exe “
为了使感染链继续,受害者必须手动执行这些步骤,以正确生成部署工件的条件。这可以通过具有 Explorer.exe 父进程的 Powershell.exe 执行来识别。
例如,这种执行被记录为事件 ID 1 (进程创建),指示了上述参数。
因此,可以看出,PowerShell 行 中包含的 Payload 对应于 Mshta.exe 命令行,该命令通过 mshta.exe 执行 “clicktogo[*]click/Downloads/tra3” 的 间接执行。
tra3 生成的内容对应于一个经过压缩的 JavaScript 文件,该文件经过双重混淆,混淆方式是通过变量位置替换值。
一旦第一阶段被解混淆,就会观察到调用不同函数,这些函数负责通过 ActiveXObject 函数(用于创建 COM 对象的函数)执行第二次解混淆过程的结果,该结果包含在 Bin 变量中。
在第二阶段之后,可以看到解混淆的脚本,它创建了 WScript.Shell 对象,以使用包含通过 AES 协议加密的 Powershell 脚本的 Bin.Run 执行系统命令行。
该执行会与 clicktogo[*]click/Downloads/tar3.zip URL 建立网络连接(此 URL 是在解密和解混淆 Powershell 命令行后获得的)。
该过程负责下载并在系统上建立攻击者在攻击链中使用的各种工具。
生成的工具之一是 Setup.exe,它在执行加密的 PowerShell 时会自动运行,进而生成 more.com 进程和 conhost.exe 线程。
More.com 进程会在 Setup.exe 进程结束后大约 15 秒生成另一个名为 RewardFlaccid.a3x 的进程。
一旦 RewardFlaccid.a3x 生成的网络活动结束,该进程就会被终止,感染链也随之结束,所有恶意工具已在受害者的计算机上部署完成。
感染链
根据所做的分析,感染过程可以总结为 4 个阶段(图 3.1):
声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。
原文始发于微信公众号(白帽子左一):PeakLight恶意软件活动分析
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论