01
攻击链分析
02
后门技术特性
-
反虚拟机检测:规避沙箱环境中的安全检测 -
加密C2通信:采用XOR加密与gzip压缩相结合的传输方式 -
持久化机制:通过Windows注册表伪装成浏览器更新程序 -
隐蔽通信:利用SOCKS5代理隧道转发恶意流量
03
命令与控制机制
后门程序部署后,会每五分钟轮询一次命令控制(C2)服务器,监听以下类型的攻击指令:
-
任意系统命令执行
-
投放各类有效载荷(EXE、DLL、JS、CMD文件)
-
详尽的系统侦察(操作系统信息、ARP缓存、域成员信息)
-
交互式与一次性命令终端
-
通过Active Directory侦察实现横向移动
SpiderLabs 解释称:"该NodeJS RAT会建立SOCKS5代理隧道,使攻击者能够中转其流量...同时接收攻击者的后续利用指令。"
04
攻击基础设施特点
原文始发于微信公众号(FreeBuf):Trustwave 揭露隐蔽的 NodeJS 后门攻击活动
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论