PeakLight恶意软件活动分析

PeakLight恶意软件

在过去几个月中,PeakLight恶意软件因其通过CDN链接(内容交付网络)进行的激烈感染活动而备受关注。这种活动负责诱使用户执行编码的命令行或通过伪造的验证码和/或验证门户执行恶意工件。

图片

它旨在通过不同的持久性和规避保护与检测的技术,例如通过 LOLBINS 的 间接执行 和 多阶段感染链,窃取信息并控制受感染的计算机。同时,它利用具有全局权限的目录来便于恶意软件的部署。由于其模块化特性,它既使用合法工件(由合法公司生成的不同软件),也使用负责完成感染过程的恶意工件。

感染链

根据各种情报来源,初始感染点是通过互联网上不同页面存在的广告和弹出窗口进行的,这些广告和弹出窗口会重定向到一个域名为 .b-cdn.net/ 的网站,该网站包含一个验证验证码,指示用户在系统上打开 Run 并粘贴一个值。

图片

上述字符串在通过 document.execCommand() 函数点击检查按钮时会自动复制到剪贴板,脚本指定要复制的值将是一个 Base64 编码的 Powershell 命令,该命令执行 Mshta.exe “”。

图片

为了使感染链继续,受害者必须手动执行这些步骤,以正确生成部署工件的条件。这可以通过具有 Explorer.exe 父进程的 Powershell.exe 执行来识别。

例如,这种执行被记录为事件 ID 1 (进程创建),指示了上述参数。

图片

因此,可以看出,PowerShell 行 中包含的 Payload 对应于 Mshta.exe 命令行,该命令通过 mshta.exe 执行 “clicktogo[*]click/Downloads/tra3” 的 间接执行

图片

图片

tra3 生成的内容对应于一个经过压缩的 JavaScript 文件,该文件经过双重混淆,混淆方式是通过变量位置替换值。

图片

一旦第一阶段被解混淆,就会观察到调用不同函数,这些函数负责通过 ActiveXObject 函数(用于创建 COM 对象的函数)执行第二次解混淆过程的结果,该结果包含在 Bin 变量中。

图片

在第二阶段之后,可以看到解混淆的脚本,它创建了 WScript.Shell 对象,以使用包含通过 AES 协议加密的 Powershell 脚本的 Bin.Run 执行系统命令行。

图片

该执行会与 clicktogo[*]click/Downloads/tar3.zip URL 建立网络连接(此 URL 是在解密和解混淆 Powershell 命令行后获得的)。

图片

该过程负责下载并在系统上建立攻击者在攻击链中使用的各种工具。

图片

图片

生成的工具之一是 Setup.exe,它在执行加密的 PowerShell 时会自动运行,进而生成 more.com 进程和 conhost.exe 线程。

图片

More.com 进程会在 Setup.exe 进程结束后大约 15 秒生成另一个名为 RewardFlaccid.a3x 的进程。

图片

一旦 RewardFlaccid.a3x 生成的网络活动结束,该进程就会被终止,感染链也随之结束,所有恶意工具已在受害者的计算机上部署完成。

感染链

根据所做的分析,感染过程可以总结为 4 个阶段(图 3.1):

1.初始阶段: 对包含与 PeakLight 攻击活动 相关的广告和/或弹出窗口的网站进行互联网浏览。

2.接入点: 用户按照攻击者网站上列出的手动执行指令上当受骗。

3.执行点: 由于终端执行命令行没有限制,导致 Mshta.exe 的间接执行,从而负责下载恶意工具。

4.部署点: 一旦恶意工具被下载,它们会被部署在 AppData\Local* 目录中并自主运行,通过 TLS 与攻击者网站建立网络连接,最终完成感染过程。

图片

 无偿获取免费网安资料:

 申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/57384.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

leetcode hot100【LeetCode 142. 环形链表 II】java实现

LeetCode 142. 环形链表 II 题目描述 给定一个链表的头节点 head,返回链表开始入环的第一个节点。如果链表无环,则返回 null。 为了表示给定链表中的环,我们使用整数 pos 来表示链表尾连接到链表中的位置(索引从 0 开始&#x…

【Flutter】基础组件:Container

【Flutter】基础组件:Container 在 Flutter 开发中,Container 是一个非常常用的组件,它可以看作是一个多功能的布局容器,能够对其子组件进行样式、大小、边距、边框、背景等各种修饰。Container 是许多 Flutter 布局的基础组件&a…

【电商项目】1分布式基础篇

1 项目简介 1.2 项目架构图 1.2.1 项目微服务架构图 1.2.2 微服务划分图 2 分布式基础概念 3 Linux系统环境搭建 查看网络IP和网关 linux网络环境配置 补充P123(修改linux网络设置&开启root密码访问) 设置主机名和hosts映射 主机名解析过程分析&…

从零学习大模型(一)-----GPT3(上)

GPT-3(Generative Pre-trained Transformer 3)是一种大型自回归语言模型,由OpenAI团队训练和发布。GPT-3 拥有1750亿个参数,是当时发布的最大的非稀疏(non-sparse)语言模型之一。其参数规模是前一代模型&am…

S2 引擎-大数据分析表格

一、特性 1)开箱即用:提供不同场景下开箱即用的 React, Vue3 表组件及配套分析组件,只需要简单的配置即可轻松实现复杂场景。 2)多维交叉分析: 告别单一分析维度,全面拥抱任意维度的自由组合分析。 3&#…

vue中this.$nextTick()方法

this.$nextTick 是 Vue 中的一个内置方法,用于在下一次 DOM 更新循环结束后执行一个回调函数,确保操作发生在 DOM 已更新之后。它通常用于在更新数据后立即操作 DOM 元素,因为 Vue 的 DOM 更新是异步的。 具体作用: DOM 渲染异步…

数据脱敏方案总结

什么是数据脱敏 数据脱敏的定义 数据脱敏百度百科中是这样定义的: 数据脱敏,指对某些敏感信息通过脱敏规则进行数据的变形,实现敏感隐私数据的可靠保护。这样就可以在开发、测试和其它非生产环境以及外包环境中安全地使用脱敏后的真实数据集…

YOLOv11模型改进-注意力-引入简单无参数注意力模块SimAM 提升小目标和遮挡检测

本篇文章将介绍一个新的改进机制——卷积和注意力融合模块SimAM ,并阐述如何将其应用于YOLOv11中,显著提升模型性能。首先,SimAM 是一种用于卷积神经网络的简单且无参数的注意力模块,它基于神经科学理论定义能量函数来计算 3-D 注…

若依框架的下载与配置

1. 若依版本 RuoYi-Vue前后端分离版。 2. 框架下载 2.1 后端框架下载 https://gitee.com/y_project/RuoYi-Vue 2.2 前端框架下载 https://github.com/yangzongzhuan/RuoYi-Vue3 3. 数据库配置 3.1 创建数据库 基于MySQL数据库,创建数据库:ry-vu…

Java中消息队列

MQ是Message Queue的缩写,也就是消息队列的意思,它是一种应用程序对应用程序的通信方法,使得应用程序能够通过读写出入列队的消息来进行通信,而无需要使用专用的连接来链接它们。消息队列中间件是分布式系统中重要的组件&#xff…

Top Down 2D Dojo Chip Set

以下是对这款 2D 微型像素关卡芯片集的简洁介绍: 这是一款基于 8x8 像素网格的 2D 微型像素关卡芯片集,采用经典的像素风格。它包含 66 个.png 格式的芯片,涵盖多种墙壁和门的变体,非常适合用于快速搭建游戏原型的道场关卡。利用…

用户之认证

UsernamePasswordAuthenticationToken authenticationToken new UsernamePasswordAuthenticationToken(username, password); try { Authentication authentication authenticationManager.authenticate(authenticationToken); // 如果认证成功,这里可以继续处…

gazebo显示urdf

最近想要将urdf显示在gazebo中。也就是实现下面这样的效果。 因为我看到网上&#xff0c;很多都是在rviz中显示urdf文件。 <launch><!-- 将 Urdf 文件的内容加载到参数服务器 --><param name"robot_description" textfile"$(find urdf_gazebo)/…

【GAMES101笔记速查——Lecture 17 Materials and Appearances】

目录 1 材质和外观 1.1 自然界中&#xff0c;外观是光线和材质共同作用的结果 1.2 图形学中&#xff0c;什么是材质&#xff1f; 1.2.1 渲染方程严格正确&#xff0c;其中BRDF项决定了物体的材质 1.2.2 漫反射材质 &#xff08;1&#xff09;如何定义漫反射系数&#xff1…

教你如何轻松用 python 连接和操作 redis 数据库

连接数据库之前&#xff0c;你需要提前安装好 Python 和 redis&#xff0c;这里默认你已经好了。点击这里了解 Python安装、 演示代码地址。     在 Python 中操作 redis&#xff0c;通常使用 redis 这个库来进行数据库的连接、查询和操作。下面是使用 redis 连接 MySQL 数据…

mysql8以上版本第一次下载后的登录问题

mysql8以上版本第一次下载后的登录问题 在官网下载mysql后&#xff0c;按照MySQL下载和安装教程操作就可以 如果出现问题&#xff0c;参考https://blog.csdn.net/weixin_63107823/article/details/136588474 注意ini配置文件&#xff0c;如果你是复制的别人的代码&#xff0…

ESD防静电闸机如何保护汽车电子产品

随着汽车电子技术的快速发展&#xff0c;汽车中集成了越来越多的电子设备&#xff0c;如车载信息娱乐系统、自动驾驶传感器、驾驶辅助系统等。静电放电可能导致电子组件的损坏、性能下降&#xff0c;甚至使整个系统失效。因此&#xff0c;如何有效保护汽车电子产品免受静电损害…

this指针—静态成员—单例模式

01 this指针 C是在C语言的基础上发展而来的&#xff0c;第一个C的编译器实际上是将C程序翻译为C语言&#xff0c;然后再使用C语言编译器编译 C语言中没有类的概念&#xff0c;只有结构&#xff0c;函数都是全局函数&#xff0c;没有成员函数的概念 翻译的时候&#xff0c;将cla…

2024 四川省大学生信息安全技术大赛 安恒杯 部分 WP

文章目录 一、前言二、MISCunzip-png拓展 第47张图片重要的文件 三、WEB四、CRYPTO五、REVERSE 一、前言 WP不完整&#xff0c;仅供参考&#xff01; 除WEB外&#xff0c;其余附件均已打包完毕&#xff0c;在这里也是非常感谢师傅的附件支持&#xff01; 123网盘下载&#x…

腾讯PAG 动画库Android版本的一个问题与排查记录

1 背景与环境 Android project中有加载动画的需求&#xff0c;设计师推荐使用腾讯的pag动画。项目中使用到的pag android库的版本是&#xff1a;com.tencent.tav:libpag:4.3.50。 2 故事经过 项目中pag的动画资源是有固定尺寸的&#xff0c;由于资源中的内容过于偏左&#x…