攻击youtube代理软件

youtube代理软件  时间:2021-02-27  阅读:()
首次发布时间:2015年05月27日14时32分本版本更新时间:2015年05月27日14时32分一例针对中方机构的准APT攻击中所使用的样本分析安天安全研究与应急处理中心(AntiyCERT)一例针对中方机构的准APT攻击中所使用的样本分析安天实验室版权所有,欢迎无损转载第2页目录1背景.
12事件样本分析12.
1前导文件与样本加载.
12.
2关键机理.
32.
3APT-TOCS的主样本(SAMPLEB)分析.
32.
4脚本1分析32.
5模块1分析42.
6模块2分析52.
7模块3分析63攻击技术来源的验证分析83.
1模块1比较83.
2模块2反汇编指令比较93.
3模块3数据包对比分析103.
4COBALTSTRIKE特点114总结.
12附录一:关亍COBALTSTRIKE及其作者的参考资料.
13附录二:关亍安天.
16一例针对中方机构的准APT攻击中所使用的样本分析安天实验室版权所有,欢迎无损转载第1页1背景安天近期发现一例针对中方机构的准APT攻击事件,在攻击场景中,攻击者依托自动化攻击测试平台CobaltStrike生成的、使用信标(Beacon)模式进行通信的Shellcode,实现了对目标主机进行远程控制的能力.
这种攻击模式在目标主机中体现为:无恶意代码实体文件、每60秒发送一次网络心跳数据包、使用Cookie字段发送数据信息等行为,这些行为在一定程度上可以躲避主机安全防护检测软件的查杀与防火墙的拦截.
鉴于这个攻击与CobaltStrike平台的关系,我们暂时将这一攻击事件命名为APT-TOCS(TOCS,取ThreatonCobaltStrike之意.
)APT-TOCS这一个攻击的核心步骤是:加载Shellcode的脚本功能,通过命令行调用powershell.
exe将一段加密数据加载到内存中执行.
解密后的数据是一段可执行的Shellcode,该Shellcode由CobaltStrike(一个自动化攻击测试平台)所生成.
安天分析小组根据加载Shellcode的脚本进行了关联,亦关联出一个可能在类似攻击中的作为脚本前导执行文件的PE程序,但由于相关脚本可以通过多种方式来执行,并不必然依赖前导PE程序加载,且其是CobaltStrike所生成的标准攻击脚本,因此无法判定该前导PE文件与本例攻击的关联.
这种基于脚本+Shellcode的方式注入内存执行没有硬盘写入操作,使用信标(Beacon)模式进行通信,支持多信标通信,可以同时和多个信标工作.
这种攻击方式可以不依赖载体文件进行攻击,而可以依靠网络投放能力和内网横向移动按需投放,这将会给取证工作带来极大的困难,而且目前的一些沙箱检测产品也对这种攻击无效.
APT-TOCS攻击尽管看起来已经接近APT水准的攻击能力,但并非更多依赖攻击团队自身的能力,而是依托商业的自动化攻击测试平台来达成.
2事件样本分析2.
1前导文件与样本加载APT-TOCS是利用了"powershell.
exe"执行Shellcode的脚本实现对目标系统的远程控制.
安天分析人员认为攻击者掌握较多种最终可以达成多种脚本加载权限的远程注入手段,如利用安全缺陷或漏洞直接实现脚本在主机上执行.
同时,通过关联分析,发现如下的二进制攻击前导文件(以下简称SampleA),曾被用于类似攻击:病毒名称Trojan/Win32.
MSShell一例针对中方机构的准APT攻击中所使用的样本分析安天实验室版权所有,欢迎无损转载第2页原始文件名ab.
exeMD544BCF2DD262F12222ADEAB6F59B2975B处理器架构X86文件大小72.
0KB(73,802字节)文件格式BinExecute/Microsoft.
EXE[:X86]时间戳2009-05-1007:02:12数字签名NO加壳类型未知编译语言MicrosoftVisualC++该PE样本中嵌入的脚本,与安天获取到的Shellcode脚本功能代码完全相同,但加密数据存在差异,该PE样本曾在2015年5月2日被首次上传到Virustotal.
图1PE文件内嵌的使用powershell.
exe加载加密数据该PE样本使用WinExec运行嵌入的恶意代码:图2使用WinExec函数调用powershell.
exe加载加密数据由此可以初步看到,这一"前导文件"可以被作为类似攻击的前导,依托系统和应用漏洞,不依赖类似文件,依然可以实现脚本的执行与最终的控制.
从目前来看,并不能确定这一前导样本与本起APT事件具有关联关系.
一例针对中方机构的准APT攻击中所使用的样本分析安天实验室版权所有,欢迎无损转载第3页2.
2关键机理APT-TOCS攻击远控的核心部分是依托PowerShell加载的加密数据脚本(以下简称Sample_B),图1为脚本各模块之间的衍生关系和模块主要功能:图3各模块之间的衍生关系和模块主要功能2.
3APT-TOCS的主样本(SampleB)分析SampleB文件的内容(base64的内容已经省略)如下:图4SampleB的内容该部分脚本的功能是:将base64加密过的内容进行解密,再使用Gzip进行解压缩,得到模块1,并使用PowerShell来加载执行.
2.
4脚本1分析脚本1的内容(base64的内容已经省略)如下:一例针对中方机构的准APT攻击中所使用的样本分析安天实验室版权所有,欢迎无损转载第4页图5脚本1的内容此部分内容的功能是将经过base64加密的数据解密,得到模块1,写入到powershell.
exe进程内,然后调用执行.
2.
5模块1分析该模块的主要功能是调用wininet模块的函数,进行连接网络,下载模块2的操作;并加载到内存中执行.
一例针对中方机构的准APT攻击中所使用的样本分析安天实验室版权所有,欢迎无损转载第5页图6HTTPGET请求上图为使用HTTPGET请求,获取文件:http:2.
6模块2分析模块2创建并挂起系统进程rundll32.
exe:图7创建挂起系统进程rundll32.
exe写入模块3的数据:一例针对中方机构的准APT攻击中所使用的样本分析安天实验室版权所有,欢迎无损转载第6页图8写入模块3的数据模块3的数据虽然是以"MZ"开头,但并非为PE文件,而是具有后门功能的Shellcode.
图9以MZ(4D5A)开头的Shellcode2.
7模块3分析该模块会连接两个地址,端口号为80:罗马尼亚)罗马尼亚)发送请求数据,接收返回数据.
一例针对中方机构的准APT攻击中所使用的样本分析安天实验室版权所有,欢迎无损转载第7页图10发送请求数据上述IP、域名和访问地址的解密方式是"异或0x69".
从该模块的字符串与所调用的系统函数来判断,该模块为后门程序,会主动向指定的地址发送GET请求,使用Cookie字段来发送心跳包,间隔时间为60秒.
心跳包数据包括校验码、进程ID、系统版本、IP地址、计算机名、用户名、是否为64位进程,并将该数据使用RSA、BASE64加密及编码.
图11心跳包原始数据由于进程ID与校验码的不同,导致每次传输的心跳包数据不相同.
校验码是使用进程ID和系统开机启动所经过的毫秒数进程计算得出的.
算法如下:图12校验码算法加密后的心跳包使用Cookie字段进行传输:一例针对中方机构的准APT攻击中所使用的样本分析安天实验室版权所有,欢迎无损转载第8页图13数据包内容3攻击技术来源的验证分析安天CERT分析人员关联的PE前导文件Sample_A和SampleB利用PowerShell的方法和完全相同,但正应为相关脚本高度的标准化,并不排除Sample_A与本次攻击没有必然联系.
而基于其他的情况综合分析,我们依然判断是一个系列化的攻击事件,攻击者可能采用了社工邮件、文件捆绑、系统和应用漏洞利用、内网横向移动等方式实现对目标主机的控制.
而在分析"模块1"时,我们发现了"Beacon"等字符串,依托过往分析经验,怀疑该Shellcode与自动化攻击测试平台CobaltStrike密切相关.
于是,分析人员对使用CobaltStrike生成的Beacon进行对比分析,验证两者之间的关系.
CobaltStrike是一款以metasploit(一个渗透测试平台)为基础的GUI的框架式渗透工具,CobaltStrike的商业版,集成了服务扫描、自动化溢出、多模式端口监听、多种木马生成方式(dll木马、内存木马、office宏病毒和Beacon通信木马等)、钓鱼攻击、站点克隆、目标信息获取,浏览器自动攻击等.
3.
1模块1比较我们将模块1与使用Beacon生成的Payload进行比较,发现只有三处数据不同,分别为:Get请求时所发送的Head数据、请求的文件名称和IP地址.
一例针对中方机构的准APT攻击中所使用的样本分析安天实验室版权所有,欢迎无损转载第9页图14模块1对比左侧为样本模块1,右侧为由Beacon所生成的模块,从图中对比来看,可以得出结论,模块1是由Beacon所生成.
在请求时的数据包截图如下:图15模块1发包数据对比3.
2模块2反汇编指令比较分析人员将样本的模块2与Beacon相关的文件进行比较,发现两者的反汇编指令除了功能代码不同之外,其它指令完全一致,包括入口处的异或解密、加载系统DLL、获取函数地址、函数调用方式等,下面列举三处:样本模块2Beacon相关文件一例针对中方机构的准APT攻击中所使用的样本分析安天实验室版权所有,欢迎无损转载第10页入口处异或解密(使用x86/shikata_ga_nai变形)解密后入口处代码函数调用3.
3模块3数据包对比分析下面是样本模块3与Beacon所生成模块的Get请求比较,可以看出,两者都是使用Cookie来传输信息,一例针对中方机构的准APT攻击中所使用的样本分析安天实验室版权所有,欢迎无损转载第11页该信息进行了加密,每间隔60秒主动发送请求,该数据为上线包/心跳包.
图16模块3数据包对比3.
4CobaltStrike特点利用CobaltStrike的攻击可以在目标系统中执行多种操作,如:下载文件、上传文件、执行指定程序、注入键盘记录器、通过PowerShell执行命令、导入PowerShell脚本、通过CMD执行命令、利用mimikatz抓取系统密码等.
CobaltStrike具有以下特点:穿透沙箱躲避白名单机制与云检测内网渗透持久化攻击攻击多种平台一例针对中方机构的准APT攻击中所使用的样本分析安天实验室版权所有,欢迎无损转载第12页4总结使用自动化攻击测试平台CobaltStrike进行攻击渗透方式具有穿透防火墙的能力,其控制目标主机的方式非常隐蔽,难以被发现;同时具备攻击多种平台,如Windows、Linux、Mac等;同时与可信计算环境、云检测、沙箱检测等安全环节和手段均有对抗能力.
从安天过去的跟踪来看,这种威胁已经存在近五年之久,但依然却缺乏有效检测类似威胁的产品和手段.
安天CERT分析小组之所以将APT-TOCS事件定位为准APT事件,是因为该攻击事件一方面符合APT攻击针对高度定向目标作业的特点,同时隐蔽性较强、具有多种反侦测手段.
但同时,与我们过去所熟悉的很多APT事件中,进攻方具备极高的成本承担能力与巨大的能力储备不同,其成本门槛并不高,事件的恶意代码并非由攻击者自身进行编写构造,商业攻击平台使事件的攻击者不再需要高昂的恶意代码的开发成本,相关攻击平台亦为攻击者提供了大量可选注入手段,为恶意代码的加载和持久化提供了配套方法,这种方式降低了攻击的成本,使得缺少雄厚资金、也没有精英黑客的国家和组织依托现即有商业攻击平台提供的服务即可进行接近APT级攻击水准,而这种高度"模式化"攻击也会让攻击缺少鲜明的基因特点,从而更难追溯.
我们不仅要再次引用信息安全前辈BruceSchiner的观点"一些重大的信息安全攻击事件时,都认为它们是网络战的例子.
我认为这是无稽之谈.
我认为目前正在发生而且真正重要的趋势是:越来越多战争中的战术行为扩散到更广泛的网络空间环境中.
这一点非常重要.
通过技术可以实现能力的传播,特别是计算机技术可以使攻击行为和攻击能力变得自动化.
"显然,高度自动化的商业攻击平台使这种能力扩散速度已经超出了我们的预测.
我们需要提醒各方关注的是,鉴于网络攻击技术具有极低的复制成本的特点,当前已经存在严峻的网络军备扩散风险.
商业渗透攻击测试平台的出现,一方面成为高效检验系统安全的有利工具,但对于缺少足够的安全预算、难以承担更多安全成本的国家、行业和机构来说,会成为一场噩梦.
在这个问题上,一方面需要各方面建立更多的沟通和共识;而另一方面毫无疑问的是当前在攻防两端均拥有全球最顶级能力的超级大国,对于有效控制这种武器级攻击手段的扩散,应该负起更多的责任.
同时,APT-TOCS与我们之前所发现的诸多事件一样,体现了一个拥有十三亿人口、正在进行大规模信息化建设的国家,所面对的严峻的网络安全挑战;当然,也见证着中国用户与安全企业为应对这种挑战所做的努力.
一例针对中方机构的准APT攻击中所使用的样本分析安天实验室版权所有,欢迎无损转载第13页附录一:关亍CobaltStrike及其作者的参考资料CobaltStrike是Armitage的商业版本.
Armitage是一款Java写的Metasploit图形界面的渗透测试软件,可以用它结合Metasploit已知的exploit来针对存在的漏洞自动化攻击.
bt5、kalilinx下集成免费版本Armitage,最强大的功能是多了个Beacon的Payload.
CobaltStrike首次发布时间:2012年6月版本描述CobaltStrike1.
45及以前版本可以连接本机windows的metasploit的,在后来就不被支持了,必须要求连接远程linux的metasploit.
CobaltStrike1.
46系统分析器使用退回措施检查java报告版本信息,修复了密钥生成漏洞.
CobaltStrike1.
47缓解了Beacon多重信息积压;开启侦听器时进行全面检查.
CobaltStrike1.
48Beacon增加了timestomp命令;bypassuac特权文件复制完成等待至10秒.
CobaltStrike1.
49修复了WindowsXP的BeaconHTTPStager负载生成器.
CobaltStrike2.
0可塑性的命令和控制,增加了"veil"选项到负载生成器.
CobaltStrike2.
1PowerShell命令启动本地主要的PowerShell;更新了build.
sh工具.
CobaltStrike2.
2重建过程注入和连接到目标系统上的VNC服务器,新过程由于基于主机的防火墙更容易被忽略;漏洞报告显示来自ZDI,MSB,US-CERT-VU和WPVDB的URL引用.
CobaltStrike2.
3用定制的编码器编码Beacon的DNS阶段;Beacon增加了runas命令、pwd命令.
CobaltStrike2.
4增加时间戳到view->web日志项;用不同参数重新生成默认BeaconHTTPS证书;现在使用不同参数生成可塑的C2HTTPS证书;更新了可执行文件和DLLS的默认工具包.
CobaltStrike作者:RaphaelMudge(美国),他是StrategicCyberLLC(战略网络有限责任公司)创始人,基于华盛顿的公司为REDTEAM开发软件,他为Metaslpoit创造了Armitage,sleep程序语言和IRC客户端jIRCii.
此前作为美国空军的安全研究员,渗透实验的测试者.
他设置发明了一个语法检测器卖给了Automattic.
发表多篇文章,定期进行安全话题的演讲.
给许多网络防御竞赛提供REDTEAM,参加2012-2014年黑客大会.
一例针对中方机构的准APT攻击中所使用的样本分析安天实验室版权所有,欢迎无损转载第14页教育背景:SyracuseUniversity美国雪城大学,密歇根科技大学目前就职:StrategicCyberLLC(战略网络有限责任公司);特拉华州空军国民警卫队技能:软件开发信息安全面向对象的设计分布式系统图形界面计算机网络设计博客系统社会工程学安全研究等等公司/项目/机构职位时间StrategiccyberLLC创始者和负责人2012.
1-至今特拉华州空军国民警卫队领导,传统预备役2009-至今Cobaltstrike项目负责人2011.
11-2012.
5TDI高级安全工程师2010.
8-2011.
6Automattic代码Wrangler2009.
7-2010.
8FeedbackArmy,AftertheDeadline创始人2008.
7-2009.
11美国空军研究实验室系统工程师2006.
4-2008.
3美国空军通信与信息军官2004.
3-2008-3支持的组织机构:大学网络防御竞赛(CCDC)东北NorthEastCCDC2008-2015东部地区MidAtlanticCCDC2011-2015环太平洋PacificRimCCDC2012,2014东南SouthEastCCDC-2014西部WesternRegionalCCDC-2013国家NationalCCDC2012-2014所做项目:Sleep脚本语言(可扩展的通用语言,使用受JAVA平台启发的Perl语言)sleep是开源的,受LGPL许可.
jIRCii(可编写脚本的多人在线聊天系统客户端,Windows,MacOSX,andLinux平台,开源)出版作品:《使用Armitage和Metasploit的实弹安全测试(Live-fireSecurityTestingwithArmitageandMetasploit)》linux杂志一例针对中方机构的准APT攻击中所使用的样本分析安天实验室版权所有,欢迎无损转载第15页《通过后门入侵:使用Armitage的实施漏洞利用》(Getinthroughthebackdoor:PostexploitationwithArmitage)Hakin9杂志《教程:用Armitage进行黑客攻击Linux》(Tutorial:HackingLinuxwithArmitage)ethicalhacker.
net《校对软件服务设计》(TheDesignofaProofreadingSoftwareService)NAACLHLT2010计算机的语言学和写作研讨会《基于代理的流量生成》(Agent-basedTrafficGeneration)Hakin9杂志等贡献:cortana-scriptsmetasploit-loadermalleable-c2-profileslayer2-privoting-clientarmitage项目:商业合资企业类AftertheDeadlineFeedbackArmyCobaltStrike开源软件ArmitageFarEastjIRCiiMocontiOneHandArmyMansphPERLSameGameSleep信息参考链接:https://plus.
google.
com/116899857642591292745/posts(google+)https://github.
com/rsmudge(GitHub)https://www.
youtube.
com/channel/UCJU2r634VNPeCRug7Y7qdcw(youtube)一例针对中方机构的准APT攻击中所使用的样本分析安天实验室版权所有,欢迎无损转载第16页http://www.
oldschoolirc.
com/https://twitter.
com/rsmudgehttp://www.
hick.
org/~raffi/index.
htmlhttp://www.
blackhat.
com/html/bh-us-12/speakers/Raphael-Mudge.
htmlhttp://www.
linkedin.
com/in/rsmudge附录二:关亍安天安天从反病毒引擎研发团队起步,目前已发展成为拥有四个研发中心、监控预警能力覆盖全国、产品与服务辐射多个国家的先进安全产品供应商.
安天历经十五年持续积累,形成了海量安全威胁知识库,并综合应用网络检测、主机防御、未知威胁鉴定、大数据分析、安全可视化等方面经验,推出了应对持续、高级威胁(APT)的先进产品和解决方案.
安天技术实力得到行业管理机构、客户和伙伴的认可,安天已连续四届蝉联国家级安全应急支撑单位资质,亦是CNNVD六家一级支撑单位之一.
安天移动检测引擎获得全球首个AV-TEST(2013)年度奖项的中国产品,全球超过十家以上的著名安全厂商都选择安天作为检测能力合作伙伴.
关于反病毒引擎更多信息请访问:http://www.
antiy.
com(中文)http://www.
antiy.
net(英文)关于安天反APT相关产品更多信息请访问:http://www.
antiy.
cn

raksmart:香港机房服务器实测评数据分享,告诉你raksmart服务器怎么样

raksmart作为一家老牌美国机房总是被很多人问到raksmart香港服务器怎么样、raksmart好不好?其实,这也好理解。香港服务器离大陆最近、理论上是不需要备案的服务器里面速度最快的,被过多关注也就在情理之中了。本着为大家趟雷就是本站的光荣这一理念,拿了一台raksmart的香港独立服务器,简单做个测评,分享下实测的数据,仅供参考!官方网站:https://www.raksmart.com...

buyvm美国大硬盘VPS,1Gbps带宽不限流量

buyvm正式对外开卖第四个数据中心“迈阿密”的块存储服务,和前面拉斯维加斯、纽约、卢森堡一样,依旧是每256G硬盘仅需1.25美元/月,最大支持10T硬盘。配合buyvm自己的VPS,1Gbps带宽、不限流量,在vps上挂载块存储之后就可以用来做数据备份、文件下载、刷BT等一系列工作。官方网站:https://buyvm.net支持信用卡、PayPal、支付宝付款,支付宝付款用的是加元汇率,貌似...

HostYun全场9折,韩国VPS月付13.5元起,日本东京IIJ线路月付22.5元起

HostYun是一家成立于2008年的VPS主机品牌,原主机分享组织(hostshare.cn),商家以提供低端廉价VPS产品而广为人知,是小成本投入学习练手首选,主要提供基于XEN和KVM架构VPS主机,数据中心包括中国香港、日本、德国、韩国和美国的多个地区,大部分机房为国内直连或者CN2等优质线路。本月商家全场9折优惠码仍然有效,以KVM架构产品为例,优惠后韩国VPS月付13.5元起,日本东京...

youtube代理软件为你推荐
万网核心代理我想买个域名和空间,我一朋友给我介绍万网代理环宇网络空间商,他们的空间稳定吗,价格怎么样,咨询师的服bluestacksbluestacks怎么用照片转手绘有没有一种软件是可以把一张照片变成手绘的图片,给推荐下彩信中心短信中心号码是多少直播加速请问哪种播放器的可以播放加速,并且可以保存开机滚动条电脑开机有滚动条的画面创维云电视功能很喜欢创维云电视,它到底有哪些独特功能?mate8价格华为mate8市场价多少网页打开很慢为什么我打开浏览器的时候,网页打开的很慢?网络广告投放网络广告投放有哪些技巧?
网站空间租赁 域名网 高防服务器租用选锐一 查询ip地址 美国独立服务器 主机测评网 linode 最好的空间 申请个人网站 gspeed 什么是服务器托管 电信托管 江苏双线服务器 环聊 创建邮箱 登陆空间 路由跟踪 iki 认证机构 cloudflare 更多