[译文] 恶意代码分析:2.LNK文件伪装成证书传播RokRAT恶意软件(含无文件攻击)

这是作者新开的一个专栏,主要翻译国外知名安全厂商的技术报告和安全技术,了解它们的前沿技术,学习它们威胁溯源和恶意代码分析的方法,希望对您有所帮助。当然,由于作者英语有限,会借助LLM进行校验和润色,最终结合自己的安全经验完成,还请包涵!

前文介绍了文本编辑器notepad++如何被感染的,通过恶意链接引导用户下载恶意的编辑器,并分析其恶意行为。这篇文章将翻译一篇LNK文件发起的恶意攻击,主要是LNK文件伪装成证书执行RokRAT恶意软件,并利用Powershell命令发起无文件攻击和执行相关行为。基础性技术文章,希望您喜欢!

  • 欢迎关注作者新建的『网络攻防和AI安全之家』知识星球

文章目录

  • 一.前言
  • 二.攻击机理分析
  • 三.恶意软件行为分析及IOCs
  • 四.总结

在这里插入图片描述

  • 原文标题:《LNK File Disguised as Certificate Distributing RokRAT Malware》
  • 原文链接:https://asec.ahnlab.com/en/65076/
  • 文章作者:yeeun [ASEC]
  • 发布时间:2024年5月7日
  • 文章来源:https://asec.ahnlab.com/

前文系列:

  • [译文] LLM安全:1.黑客如何读取您与ChatGPT或微软Copilot的聊天内容
  • [译文] 恶意代码分析:1.您记事本中的内容是什么?受感染的文本编辑器notepad++
  • [译文] 恶意代码分析:2.LNK文件伪装成证书传播RokRAT恶意软件(含无文件攻击)

声明:本人坚决反对利用工具或渗透技术进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。该系列主要翻译外文博客为主,旨在为大家提供他们的攻防视角。


一.前言

AhnLab安全情报中心(ASEC,AhnLab SEcurity intelligence Center) 已经确认了持续分发异常大小的快捷方式文件(.LNK),这些文件正在传播具有后门的恶意软件。他们发现该种基于快捷方式文件(.LNK)的恶意软件主要针对韩国用户,特别是与朝鲜相关的用户。

已确认的LNK文件名如下:

  • National Information Academy 8th Integrated Course Certificate (Final).lnk
    国家信息学院第八届综合课程证书(最终).lnk
  • Gate access roster 2024.lnk
    2024年门禁准入名单.lnk
  • Northeast Project (US Congressional Research Service (CRS Report).lnk
    东北项目(美国国会研究服务 CRS报告).lnk
  • Facility list.lnk
    设施列表.lnk

下图展示已确认的LNK文件属性。

在这里插入图片描述


二.攻击机理分析

已确认的LNK文件包含一个通过CMD执行的PowerShell命令,并且它们的类型类似于去年发布的文章中发现的类型。

  • RokRAT Malware Distributed Through LNK Files (*.lnk): RedEyes (ScarCruft)
    通过LNK文件(*.lnk)传播的RokRAT恶意软件:RedEyes (ScarCruft)

这种类型的恶意软件有一个显著特点:它在LNK文件中包含了合法的文档文件、脚本代码和恶意PE数据。

  • legitimate document files
  • script code
  • malicious PE data

下图展示了LNK文件中包含的PDF文件和脚本代码。

在这里插入图片描述

在这里插入图片描述

RokRAT恶意软件的简化操作过程如下所示,是一种比较常见的LNK攻击:

  • 通过Email发起鱼叉式钓鱼攻击,包括恶意LNK文件(可执行Powershell)
  • 整个LNK文件包含:正常PDF文件、viwer.dat、search.dat、find.bat
  • 发起RokRAT无文件攻击,利用云端API收集用户信息

更详细的描述如下:

在这里插入图片描述

(1)当LNK文件被执行时,它会运行PowerShell命令来创建并执行一个合法的文档文件。 如下图所示,创建了一个韩文的合法文档,旨在干扰被攻击者。

在这里插入图片描述

(2)随后,它在%public%文件夹中创建了3个文件。 此步骤中所创建文件的名称和特性如下:

文件名LNK文件中的位置特征
viewer.dat0x2BC97 (size:0xD9402)Encoded RokRAT malware(编码RokRAT恶意软件)
search.dat0x105099 (size:0x5AA)Executes viewer.dat file(执行viewer.dat文件)
find.bat0x105643 (size:0x139)Executes search.dat file(执行search.dat文件)

(3)第一个执行项是“find.bat”,它通过PowerShell代码运行“search.dat”。接着,“search.dat”以无文件攻击的方式读取并执行“viewer.dat”文件。

关键代码如下所示:

$exePath=$env:public+'\'+'viewer.dat';
$exeFile = Get-Content -path $exePath -encoding byte;
[Net.ServicePointManager]::SecurityProtocol = [Enum]::ToObject([Net.SecurityProtocolType], 3072);
$k1123 = [System.Text.Encoding]::UTF8.GetString(34) + 'kernel32.dll' + [System.Text.Encoding]::UTF8.GetString(34);
<중략>
$byteCount = $exeFile.Length;
$buffer = $b::GlobalAlloc(0x0040, $byteCount + 0x100);
$old = 0;
$a90234sb::VirtualProtect($buffer, $byteCount + 0x100, 0x40, [ref]$old);
for($i = 0;$i -lt $byteCount;$i++) { 
	[System.Runtime.InteropServices.Marshal]::WriteByte($buffer, $i, $exeFile[$i]);	};
$handle = $cake3sd23::CreateThread(0, 0, $buffer, 0, 0, 0);
$fried3sd23::WaitForSingleObject($handle, 500 * 1000);

(4)最终执行的“viewer.dat”数据即是RokRAT恶意软件,它是一种后门类型的恶意软件,能够利用云API收集用户信息,并根据威胁攻击者的命令下执行各种恶意行为。

  • 收集到的信息通过如pCloud、Yandex和DropBox等云服务传输到威胁攻击者的云服务器中。此时,请求头中的UserAgent伪装成Googlebot,所使用的云URL如下表所示。
  • User-Agent: Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)

在这里插入图片描述


三.恶意软件行为分析及IOCs

该恶意软件根据威胁行为体(behaviors)或攻击者的命令可以执行的恶意行为包括:

  • 执行cmd命令
  • 收集目录信息
  • 删除启动项文件夹中的特定文件(包括VBS、CMD、BAT和LNK扩展名)
  • 收集启动文件夹列表、%APPDATA%文件夹列表以及最近使用的文件列表
  • 收集PC信息(系统信息、IP、路由器信息等)

此外,还可以执行其他的恶意行为,并且收集到的信息在上传至攻击者的云服务器之前,会先存储在%TEMP%文件夹中。在分析过程中所识别出的攻击者的电子邮件地址如下。

  • tanessha.samuel@gmail[.]com
  • tianling0315@gmail[.]com
  • w.sarah0808@gmail[.]com
  • softpower21cs@gmail[.]com

由于此类事件频繁发生,ASEC将通过其官方博客持续分享有关恶意快捷方式文件传播的信息。特别需要注意,近年来不断发现“针对朝鲜半岛统一、军事和教育相关的个人或团体恶意软件”,因此,我们需要格外谨慎。

[File Detection]

  • Dropper/LNK.S2343 (2024.04.12.03)
  • Trojan/BAT.Runner (2024.04.12.00)
  • Trojan/Script.Generic (2024.04.12.00)
  • Data/BIN.EncPe (2024.04.12.00)
  • Infostealer/Win.Agent.R579429 (2023.05.05.01)

[IoC]

  • b85a6b1eb7418aa5da108bc0df824fc0
  • 358122718ba11b3e8bb56340dbe94f51
  • 35441efd293d9c9fb4788a3f0b4f2e6b
  • 68386fa9933b2dc5711dffcee0748115
  • bd07b927bb765ccfc94fadbc912b0226
  • 6e5e5ec38454ecf94e723897a42450ea
  • 3114a3d092e269128f72cfd34812ddc8
  • bd98fe95107ed54df3c809d7925f2d2c

四.总结

写到这里,这篇文章就介绍完毕,基础性文章,希望对您有所帮助。

在这里插入图片描述

2024年4月28日是Eastmount的安全星球——『网络攻防和AI安全之家』正式创建和运营的日子,该星球目前主营业务为 安全零基础答疑、安全技术分享、AI安全技术分享、AI安全论文交流、威胁情报每日推送、网络攻防技术总结、系统安全技术实战、面试求职、安全考研考博、简历修改及润色、学术交流及答疑、人脉触达、认知提升等。下面是星球的新人券,欢迎新老博友和朋友加入,一起分享更多安全知识,比较良心的星球,非常适合初学者和换安全专业的读者学习。

在这里插入图片描述
目前收到了很多博友、朋友和老师的支持和点赞,尤其是一些看了我文章多年的老粉,购买来感谢,真的很感动,类目。未来,我将分享更多高质量文章,更多安全干货,真心帮助到大家。虽然起步晚,但贵在坚持,像十多年如一日的博客分享那样,脚踏实地,只争朝夕。继续加油,再次感谢!

(By:Eastmount 2024-05-14 星期二 夜于贵阳 http://blog.csdn.net/eastmount/ )

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/625926.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

idea控制台日志控制

1.清除控制台log日志 测试的时候&#xff0c;控制台打印的日志比较多&#xff0c;速度有点慢而且不利于查看运行结果&#xff0c;所以接下来我们把这个日志处理下: 取消初始化spring日志打印&#xff0c;resources目录下添加logback.xml&#xff0c;名称固定&#xff0c;内容如…

Transformer+Classification学习笔记

论文名称&#xff1a;An Image is Worth 16x16 Words:Transformers for Image Recognition at Scale [2112.11010] MPViT: Multi-Path Vision Transformer for Dense Prediction (arxiv.org) 参考博客与视频&#xff1a; Vision Transformer 超详细解读 (原理分析代码解读) …

[动画详解]LeetCode151.翻转字符串里的单词

&#x1f496;&#x1f496;&#x1f496;欢迎来到我的博客&#xff0c;我是anmory&#x1f496;&#x1f496;&#x1f496; 又和大家见面了 欢迎来到动画详解LeetCode算法系列 用通俗易懂的动画让算法题不再神秘 先来自我推荐一波 个人网站欢迎访问以及捐款 推荐阅读 如何低成…

589.N叉树的前序遍历

刷算法题&#xff1a; 第一遍&#xff1a;1.看5分钟&#xff0c;没思路看题解 2.通过题解改进自己的解法&#xff0c;并且要写每行的注释以及自己的思路。 3.思考自己做到了题解的哪一步&#xff0c;下次怎么才能做对(总结方法) 4.整理到自己的自媒体平台。 5.再刷重复的类…

解决el-upload组件上传文件403 Forbidden的问题

话不多说&#xff0c;上错误。网络显示&#xff1a; 控制台显示&#xff1a; 并且后端也没接收到任何的请求。 只需要把前端中的组件&#xff1a; action的路径修改为&#xff1a; 也就是不写前面的localhost&#xff0c;而是拼接上发送请求拼接的‘api’即可 可以看到&#x…

架构每日一学 6:作为架构师,你必须学会寻找商业模式

本文首发于公众平台&#xff1a;腐烂的橘子 在前面的文章中&#xff0c;我们已经讲了架构师的两条生存法则&#xff0c;第一条是有且仅有一个目标&#xff0c;感兴趣的可以看一下原文&#xff1a; 架构每日一学 2&#xff1a;架构师六个生存法则之一&#xff1a;架构必须有且仅…

【LLM第五篇】名词解释:prompt

1.是什么 提示工程&#xff08;Prompt Engineering&#xff09;是一门较新的学科&#xff0c;关注提示词开发和优化&#xff0c;帮助用户将大语言模型&#xff08;Large Language Model, LLM&#xff09;用于各场景和研究领域。 掌握了提示工程相关技能将有助于用户更好地了解…

教育型内容的制胜秘诀:Kompas.ai如何结合知识与营销

在数字化营销的浪潮中&#xff0c;教育型内容已经成为品牌建立权威性和提供价值的重要手段。通过分享专业知识和见解&#xff0c;品牌不仅能够吸引目标受众&#xff0c;还能够在潜在客户心中建立起专业和可信赖的形象。本文将深入分析教育型内容的重要性&#xff0c;详细介绍Ko…

sklearn之k近邻算法——以鸢尾花分类为例

文章目录 k近邻算法算法原理k值的选取特征数据的归一化距离的度量分类原则的制定鸢尾花分类 k近邻算法 k近邻算法是经典的监督学习算法&#xff0c;我们这里主要介绍k近邻算法的基本内容和如何应用 算法原理 k近邻算法的基本原理其实很简单 首先k近邻算法是一个分类算法&am…

x264 帧类型代价计算原理:slicetype_slice_cost 函数分析

x264 x264 是一个开源的视频编码库,它实现了H.264/AVC标准。H.264是一种广泛使用的压缩标准,用于视频流、视频下载、蓝光光盘以及许多其他形式的数字视频分发。x264 以其高压缩效率和良好的视频质量而著称,是许多视频编辑软件和视频播放器的默认编解码器。 以下是关于 x26…

软件工程期末复习(6)需求分析的任务

需求分析 需求分析的任务 “建造一个软件系统的最困难的部分是决定要建造什么……没有别的工作在做错时会如此影响最终系统&#xff0c;没有别的工作比以后矫正更困难。” —— Fred Brooks 需求难以建立的原因&#x…

半小时搞懂STM32面经知识——RCC

1. 时钟的概念 时钟是由电路产生的具有周期性的脉冲信号&#xff0c;相当于单片机的心脏&#xff0c;要想使用单片机的外设必须开启时钟。 时钟对单片机有什么作用&#xff1f; 1. 驱动外设的本质是寄存器&#xff0c;而寄存器需要时钟触发才能改写值。 2. 时钟频率越高&#…

基于Docker的JMeter分布式压测

一个JMeter实例可能无法产生足够的负载来对你的应用程序进行压力测试。如本网站所示&#xff0c;一个JMeter实例将能够控制许多其他的远程JMeter实例&#xff0c;并对你的应用程序产生更大的负载。JMeter使用Java RMI[远程方法调用]来与分布式网络中的对象进行交互。JMeter主站…

前端已死? Bootstrap--JS-jQuery

目录 Bootstrap--JS-jQuery 1 jQuery基础 介绍 基础语法&#xff1a; $(selector).action() 1.1 安装jQuery 地址 基础语法&#xff1a; $(selector).action() 2 jQuery事件 事件处理程序指的是当 HTML 中发生某些事件时所调用的方法。 jQuery常用事件 2.1 鼠标事件…

栅格地图、障碍物地图与膨胀地图(障碍物地图(三)写一张障碍物地图)

花了不少时间看完了障碍物地图的大致思路&#xff0c;这里简单根据前面的思路来写一个简易版的障碍物地图。 1.订阅一张地图 首先&#xff0c;我们需要一张静态地图作为原始数据&#xff0c;这个我们可以订阅当前的map来获取&#xff1a; void map_test1::MapCallback(const…

软件库V1.5版本iApp源码V3

软件库V1.5版本iApp源码V3 配置教程在【mian.iyu】的【载入事件】 更新内容&#xff1a; 1、分类对接蓝奏&#xff08;免费&#xff0c;付费&#xff0c;会员&#xff0c;广告&#xff09;&#xff0c;支持蓝奏文件描述设置为简介&#xff08;改动&#xff1a;首页.iyu&#…

Kubernetes二进制(单master)部署

文章目录 Kubernetes二进制&#xff08;单master&#xff09;部署一、常见的K8S部署方式1. Minikube2. Kubeadmin3. 二进制安装部署4. 小结 二、K8S单&#xff08;Master&#xff09;节点二进制部署1. 环境准备1.1 服务器配置1.2 关闭防火墙1.3 修改主机名1.4 关闭swap1.5 在/e…

Linux常用指令集合

ls显示目录文件 选项&#xff1a; -a 所有文件&#xff08;all所有&#xff09; -l 详细信息&#xff08;Information信息&#xff09;&#xff08;自动包含-1&#xff09; 所以常用 ll -1 一行只输出一个文件。 -R 列出所有子目录下的文件。…

运维别卷系列 - 云原生监控平台 之 02.prometheus exporter 实践

文章目录 [toc]exporter 简介常用的 exporternode-exporter 实践创建 svc创建 daemonsetprometheus 配置服务发现 exporter 简介 随着 Prometheus 的流行&#xff0c;很多系统都已经自带了用于 Prometheus 监控的接口&#xff0c;例如 etcd、Kubernetes、CoreDNS 等&#xff0c…

基于Springboot的校园疫情防控信息管理系统(有报告)。Javaee项目,springboot项目。

演示视频&#xff1a; 基于Springboot的校园疫情防控信息管理系统&#xff08;有报告&#xff09;。Javaee项目&#xff0c;springboot项目。 项目介绍&#xff1a; 采用M&#xff08;model&#xff09;V&#xff08;view&#xff09;C&#xff08;controller&#xff09;三层…