SLUB最新变种分析:仅靠 Slack进行C2通信

2024-03-06 06:18

本文主要是介绍SLUB最新变种分析:仅靠 Slack进行C2通信,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

4个月之前,研究人员发现一起使用一款新出现的恶意软件SLUB的攻击活动。SLUB利用CVE-2018-8174 VBScript引擎漏洞来进行传播,使用GitHub和Slack作为恶意软件与控制器和控制器之间的通信工具。

7月9日,研究人员发现一个新的SLUB变种通过了一个水坑网站进行传播。该恶意站点使用了IE 漏洞CVE-2019-0752。这是研究人员从4月开始发现该漏洞之后首次发现在野漏洞利用。

新版本的SLUB恶意软件已经不再使用GitHub来进行通信,而是使用Slack。Slack是一个协作的消息系统,用户可以通过频道(channel)来创建自己的工作空间。研究人员发现这些传播SLUB恶意软件的站点都与朝鲜政府有关。

感染链

SLUB恶意软件是通过注入了CVE-2018-8174或CVE-2019-0752漏洞利用的水坑站点来传播的。如果受害者使用未修复漏洞的IE浏览器访问该站点就会感染SLUB加载器。

下面是漏洞利用脚本执行加载器的步骤。感染链与之前SLUB相似,但该版本使用不同的技术来绕过AV检测和机器学习算法:

· 打开PowerShell作为传播机制,其中含有隐藏的WindowStyle和混淆方法。

· 使用Rundll32来调用从水坑站点下载的伪装为C++运行态名的恶意DLL(伪装为mfcm14u.dll)。

· 恶意DLL根据Windows Naming Convention应用导出标志,并使用真实的Windows API名:AfxmReleaseManagedReferences。注意:使用Windows命名规则可以帮助攻击者绕过机器学习算法。 SLUB最新变种分析:仅靠 Slack进行C2通信

图1. 下载和启动SLUB loader的 PowerShell脚本

PowerShell脚本会查看系统的架构来检查应该下载哪个DLL文件。下载的恶意DLL文件就是SLUB Loader。对x86系统来说,会下载32位的SLUB Loader和CVE-2019-0808漏洞利用。对x64系统来说,会下载64位的SLUB Loader和CVE-2019-0803漏洞利用。下载的漏洞利用的作用就是为了在Windows系统中进行全新提升。然后,loader会检查系统的架构来决定要下载和使用x86还是x64版本的SLUB恶意软件来感染受害者。

所有的漏洞利用、加载器和SLUB恶意软件都直接保存在水坑站点上。PHP大马

SLUB最新变种分析:仅靠 Slack进行C2通信

图2. SLUB恶意软件感染链

SLUB最新变种分析:仅靠 Slack进行C2通信

图3. SLUB恶意软件感染链流量模型

后门

自上次分析SLUB恶意软件之后,该后门做了一些更新和改进。最明显的变化是完全采用Slack来组织受害者机器和发布命令。下面是一些具体的变化,包括:

· 不再使用Github

· 运营者创建Slack workspace

· 每个受感染的机器都会加入该workspace,并且在workspace中创建一个名为<use_name>-<pc_name>的独立信道

· C2通信只使用Slack信道,如果运营者想要在受感染的机器上执行命令,就要特定受害者信道中插入消息

· 受害者读取特定信道的消息,并对消息进行分析,然后执行请求的命令

除了这些变化外,研究人员还发现了2个Slack token中发现的新消息(硬编码在二进制文件中)。天天好彩

SLUB最新变种分析:仅靠 Slack进行C2通信

这些token用来向slack API查询一些元数据信息,比如team info、用户列表、信道列表等。通过进一步调查研究人员发现用用户将workspace的时区设置为了韩国标准时间。

在检查token response header时,研究人员看到OAuth范围有一些不同:

C&C token:

SLUB最新变种分析:仅靠 Slack进行C2通信

Notify token:

SLUB最新变种分析:仅靠 Slack进行C2通信

 

C&C token在OAuth scope中含有admin,允许它管理workspace。

如果操作者需要修改这些token,可以更新toni132[.]pen[.]io页面的内容。Web页面的源码会分析特定的关键词:HELLO^, WHAT^, !!!。

如果找到关键词,就会token进行分析和更新:

SLUB最新变种分析:仅靠 Slack进行C2通信

C2通信

通信流程如下:如果运营者想要发送命令给受害者,就要发布一条消息到特定信道上。消息的text值指定了要执行的命令。

下面的例子说明了截图的capture命令:

SLUB最新变种分析:仅靠 Slack进行C2通信

在给定目录中列出命令:

SLUB最新变种分析:仅靠 Slack进行C2通信

列出受害者桌面的所有文件的命令:

SLUB最新变种分析:仅靠 Slack进行C2通信

然后受害者机器会读取命令并执行,然后上传截图和分享该链接的文件作为响应。注意upload的值被设置为true。

 SLUB最新变种分析:仅靠 Slack进行C2通信

其他支持的命令还有exec, dnexec, capture, file, drive, reg和tmout,这与之前分析的SLUB是相似的。在运行命令时,命令运行的结果会上传到file.io。

在攻击过程中,研究人员发现SLUB恶意软件使用了2个Slack组sales-yww9809和marketing-pwx7789。Workspace的创建时间未知。在组sales-yww9809中,含有2个用户,Lomin (lomio8158@cumallover[.]me)和Yolo (yolo1617@cumallover[.]me),创建时间都是2019年5月23日。Lomin的timezone设置为GMT时间,Yolo的timezone设置为韩国标准时间。marketing-pwx7789组中有2个用户Boshe (boshe3143@firemail[.]cc)和Forth (misforth87u@cock[.]lu),创建时间都是2019年4月17日。Boshe timezone设置为GMT时间,Forth的timezone设置为韩国标准时间。

这些邮件地址都使用免费的加密邮件服务,无法根据用户名找出更多信息。

结论

使用Slack, cock.li, pen.io这样的在线服务使研究人员很难追踪攻击者。研究人员没有发现其他变种,也没有发现该攻击者进行的其他攻击活动。该攻击活动的目标是访问水坑站点的特定用户。为了应对此次攻击事件,Slack回应称会未被黑,但是会防止平台被滥用来进行恶意行为。

这篇关于SLUB最新变种分析:仅靠 Slack进行C2通信的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/779081

相关文章

性能分析之MySQL索引实战案例

文章目录 一、前言二、准备三、MySQL索引优化四、MySQL 索引知识回顾五、总结 一、前言 在上一讲性能工具之 JProfiler 简单登录案例分析实战中已经发现SQL没有建立索引问题,本文将一起从代码层去分析为什么没有建立索引? 开源ERP项目地址:https://gitee.com/jishenghua/JSH_ERP 二、准备 打开IDEA找到登录请求资源路径位置

Andrej Karpathy最新采访:认知核心模型10亿参数就够了,AI会打破教育不公的僵局

夕小瑶科技说 原创  作者 | 海野 AI圈子的红人,AI大神Andrej Karpathy,曾是OpenAI联合创始人之一,特斯拉AI总监。上一次的动态是官宣创办一家名为 Eureka Labs 的人工智能+教育公司 ,宣布将长期致力于AI原生教育。 近日,Andrej Karpathy接受了No Priors(投资博客)的采访,与硅谷知名投资人 Sara Guo 和 Elad G

【Prometheus】PromQL向量匹配实现不同标签的向量数据进行运算

✨✨ 欢迎大家来到景天科技苑✨✨ 🎈🎈 养成好习惯,先赞后看哦~🎈🎈 🏆 作者简介:景天科技苑 🏆《头衔》:大厂架构师,华为云开发者社区专家博主,阿里云开发者社区专家博主,CSDN全栈领域优质创作者,掘金优秀博主,51CTO博客专家等。 🏆《博客》:Python全栈,前后端开发,小程序开发,人工智能,js逆向,App逆向,网络系统安全,数据分析,Django,fastapi

业务中14个需要进行A/B测试的时刻[信息图]

在本指南中,我们将全面了解有关 A/B测试 的所有内容。 我们将介绍不同类型的A/B测试,如何有效地规划和启动测试,如何评估测试是否成功,您应该关注哪些指标,多年来我们发现的常见错误等等。 什么是A/B测试? A/B测试(有时称为“分割测试”)是一种实验类型,其中您创建两种或多种内容变体——如登录页面、电子邮件或广告——并将它们显示给不同的受众群体,以查看哪一种效果最好。 本质上,A/B测

秋招最新大模型算法面试,熬夜都要肝完它

💥大家在面试大模型LLM这个板块的时候,不知道面试完会不会复盘、总结,做笔记的习惯,这份大模型算法岗面试八股笔记也帮助不少人拿到过offer ✨对于面试大模型算法工程师会有一定的帮助,都附有完整答案,熬夜也要看完,祝大家一臂之力 这份《大模型算法工程师面试题》已经上传CSDN,还有完整版的大模型 AI 学习资料,朋友们如果需要可以微信扫描下方CSDN官方认证二维码免费领取【保证100%免费

系统架构师考试学习笔记第三篇——架构设计高级知识(20)通信系统架构设计理论与实践

本章知识考点:         第20课时主要学习通信系统架构设计的理论和工作中的实践。根据新版考试大纲,本课时知识点会涉及案例分析题(25分),而在历年考试中,案例题对该部分内容的考查并不多,虽在综合知识选择题目中经常考查,但分值也不高。本课时内容侧重于对知识点的记忆和理解,按照以往的出题规律,通信系统架构设计基础知识点多来源于教材内的基础网络设备、网络架构和教材外最新时事热点技术。本课时知识

AI Toolkit + H100 GPU,一小时内微调最新热门文生图模型 FLUX

上个月,FLUX 席卷了互联网,这并非没有原因。他们声称优于 DALLE 3、Ideogram 和 Stable Diffusion 3 等模型,而这一点已被证明是有依据的。随着越来越多的流行图像生成工具(如 Stable Diffusion Web UI Forge 和 ComyUI)开始支持这些模型,FLUX 在 Stable Diffusion 领域的扩展将会持续下去。 自 FLU

SWAP作物生长模型安装教程、数据制备、敏感性分析、气候变化影响、R模型敏感性分析与贝叶斯优化、Fortran源代码分析、气候数据降尺度与变化影响分析

查看原文>>>全流程SWAP农业模型数据制备、敏感性分析及气候变化影响实践技术应用 SWAP模型是由荷兰瓦赫宁根大学开发的先进农作物模型,它综合考虑了土壤-水分-大气以及植被间的相互作用;是一种描述作物生长过程的一种机理性作物生长模型。它不但运用Richard方程,使其能够精确的模拟土壤中水分的运动,而且耦合了WOFOST作物模型使作物的生长描述更为科学。 本文让更多的科研人员和农业工作者

MOLE 2.5 分析分子通道和孔隙

软件介绍 生物大分子通道和孔隙在生物学中发挥着重要作用,例如在分子识别和酶底物特异性方面。 我们介绍了一种名为 MOLE 2.5 的高级软件工具,该工具旨在分析分子通道和孔隙。 与其他可用软件工具的基准测试表明,MOLE 2.5 相比更快、更强大、功能更丰富。作为一项新功能,MOLE 2.5 可以估算已识别通道的物理化学性质。 软件下载 https://pan.quark.cn/s/57

【STM32】SPI通信-软件与硬件读写SPI

SPI通信-软件与硬件读写SPI 软件SPI一、SPI通信协议1、SPI通信2、硬件电路3、移位示意图4、SPI时序基本单元(1)开始通信和结束通信(2)模式0---用的最多(3)模式1(4)模式2(5)模式3 5、SPI时序(1)写使能(2)指定地址写(3)指定地址读 二、W25Q64模块介绍1、W25Q64简介2、硬件电路3、W25Q64框图4、Flash操作注意事项软件SPI读写W2