.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
本週(2023年08月07日~11日),北京網際思安科技有限公司麥賽安全實驗室(MailSec Lab)觀察到大量增加的以“下訂單”為主題的Laplas Clipper木馬郵件,請各單位和企業做好相關的防護。 01背景介紹關於此批“下訂單”為主題的病毒樣本郵件,如下圖所示:
圖1. “下訂單”為主題的Laplas Clipper木馬郵件
該郵件通過偽造下訂單購買產品的郵件,誘導員工解壓縮郵件附件,從而釋放出惡意程序。當員工雙擊觸發程序後,該惡意程序將自動連接攻擊者搭建的惡意網站,進一步下載Laplas Clipper木馬病毒,並對員工計算機的剪切板進行監視和控制,以盜取員工的加密貨幣。
木馬介紹Laplas Clipper惡意軟件是網絡安全研究人員於2022年11月首次觀察到的一種相對較新的剪貼板竊取程序。該竊取程序屬於Clipper惡意軟件家族,這是一組專門針對加密貨幣用戶的惡意程序。 Laplas Clipper通過使用正則表達式來監視受害機器的剪貼板以獲取他們的加密貨幣錢包地址。一旦該惡意軟件找到受害者的錢包地址,它就會自動將其發送給攻擊者控制的Clipper機器人,後者將生成一個相似的錢包地址並將其覆蓋到受害者機器的剪貼板中。如果受害者隨後在執行交易時嘗試使用被惡意替換後的錢包地址,結果將是欺詐性加密貨幣交易,受害者將把錢匯款給黑客。
02專家分析思安麥賽安全實驗室的專家從附件風險性、源IP地址、發件人域名、郵件頭字段、郵件內容等方面,對此郵件的風險特徵進行了詳盡的技術分析。
分析-1:下載的EXE文件提前劃重點經過對EXE文件的靜態和動態分析可知,員工解壓郵件附件並點擊“PO20230808.exe”文件後會順序觸發如下惡意行為:
(1).運行環境檢測
檢測程序是否在真實的物理機上運行?若在沙箱中運行,不觸發惡意行為。
(2).反安全檢測
通過一些技術來破壞安全軟件的檢測。
(3).下載Laplas Clipper木馬
連接外部的僵死控制服務器,下載木馬程序。
(4).安裝Laplas Clipper木馬
自動安裝下載的木馬程序,並開始對員工計算機的惡意攻擊。
分析1.1. 運行環境檢測“PO20230808.exe”文件被點擊運行後,首先對程序的運行環境進行檢測,確定自身的運行環境是否安全。如果惡意程序發現自身是在虛擬環境中執行(例如:沙箱),將不運行病毒行為,從而躲避安全軟件的檢測。通過分析,實驗室專家發現了該惡意程序的如下一些躲避安全檢測的行為:
(1). 通過註冊表鍵來檢測是否安裝了常見反病毒軟件
(2). 檢查適配器地址,確定網絡接口是否是為虛擬的,以確定該環境是否為虛擬機
(3). 檢測是否有應用在監視和調試進程
分析1.2. 反檢測/反逆向除了對運行環境進行檢驗,以躲避安全軟件的檢測外。該惡意程序在運行過程中,還通過一些技術來破壞安全軟件的檢測。
(1). 使用Process Hollowing技術進行注入
(2). 在其他進程中進行內存或文件映射
分析1.3. 下載Laplas Clipper木馬惡意程序運行後,通過HTTPS從攻擊者控制的下載服務器下載惡意文件,並運行。
圖2. 下載並運行Laplas Clipper木馬示例
圖3. 抓取到的惡意文件下載行為
分析1.4. 觸發惡意攻擊行為在執行的初始階段,Laplas Clipper木馬使用解密例程對一些嵌入的加密字符串進行解密。該例程首先對base64 編碼字符串進行解碼,然後使用XOR密鑰“\x3F”對其進行解密以生成密鑰、文件夾名稱、過程ID 文件和可執行文件名。
圖4. 解密字符串以獲取信息
圖5. 解密後的信息
在執行字符串解密例程之後,木馬通過使用解密的字符串“OQaXPFVvfW”創建一個文件夾,並使用另一個解密的字符串“TCOBAisZyL.exe”將自身複製到文件夾中,從而在受害者的機器上長時間運行,進行APT攻擊。木馬的絕對路徑是:
C:\Users\
Laplas Clipper木馬通過執行如下所示的schtasks命令來創建Windows 計劃任務:
cmd.exe /C schtasks /create /tn OQaXPFVvfW /tr “C:\Users\
計劃任務在受害者的機器上每分鐘週期性執行任務,持續監控受害者的剪貼板以查找加密貨幣錢包地址。當攻擊任務觸發後,它通過發送受害者的桌面名稱和用戶ID向攻擊者的Clipper bot服務器註冊受害者的機器。然後,木馬讀取受害機器的剪貼板內容,並執行正則表達式來匹配加密貨幣錢包地址。
圖6. 加密貨幣錢包地址的正則表達式
當識別出加密貨幣錢包地址後,木馬會將錢包地址從剪貼板發回給Clipper bot服務器。
圖7. 從剪貼板複製加密貨幣錢包地址
作為響應,木馬接收到一個與受害者相似的且被攻擊者控制的錢包地址,並覆蓋剪貼板中的原始加密貨幣錢包地址。在我們的分析過程中,惡意軟件將我們的虛擬以太坊錢包地址從剪貼板發送給Clipper bot服務器,然後收到了看起來與我們的原始錢包地址相似的被攻擊者控制的錢包地址。
圖8. 攻擊者生成的錢包地址
分析-2:源IP地址提前劃重點此惡意郵件的來源IP地址被列入多達12個RBL黑名單。
通過對郵件頭字段的分析可知,該惡意郵件的來源IP地址是185.33.87.58。
圖9. 郵件頭部源IP字段展示
查詢覆蓋全球的91個RBL數據源,檢測結果如下。此IP地址被列入了多達12個RBL黑名單。
序列號被列為黑名單的RBL名稱1
Abusix Mail Intelligence Blacklist
2
BARRACUDA
3
Hostkarma Black
4
ivmSIP
5
ivmSIP24
6
RATS Spam
7
s5h.net
8
SORBS SPAM
9
TRUNCATE
10
UCEPROTECTL2
11
WPBL
12
ZapBL
03總結與攻擊溯源經思安麥賽安全實驗室的分析測試,我們認為此“下訂單”為主題的樣本郵件為高危郵件。總結來看,其含有的風險特徵包括:
經過靜態和動態分析,證明郵件附件為Laplas Clipper惡意軟件,用於盜取員工的加密貨幣;
此惡意郵件的來源IP地址被列入多達12個RBL黑名單。
此郵件的完整攻擊溯源圖如下所示:
圖10. 攻擊溯源圖
04防范建議攜帶木馬的惡意郵件是指郵件中包含木馬附件或鏈接。此類郵件可能會採用各種策略來迷惑用戶並促使他們打開附件或點擊鏈接。一旦用戶執行了這些操作,木馬病毒就會被釋放或下載到用戶的計算機上,從而導致系統被感染。木馬病毒可以允許攻擊者遠程控制受感染的計算機、竊取個人信息、損壞數據、記錄按鍵信息或啟動其他惡意活動。
要防範攜帶木馬的郵件,用戶應保持安全意識,不輕信可疑郵件,使用防病毒軟件進行掃描和檢測,並遵循如下一些安全實踐:
1. 保持警惕:對於來自陌生髮件人或不可信來源的郵件要保持警惕。如果郵件的主題、內容或附件引起您的懷疑,最好避免打開或下載附件;
2. 不隨意點擊鏈接:避免在郵件中隨意點擊鏈接,特別是來自不可信來源的鏈接。這些鏈接可能會引導您訪問惡意網站或下載木馬病毒;
3. 小心下載附件:慎重對待附件,尤其是來自未知或不可信的發件人的附件。不要輕易打開、執行或下載任何可疑的附件,因為它們可能包含木馬病毒;
4. 使用安全軟件:確保您的計算機上安裝了可靠的防病毒軟件和防火牆,並及時更新其病毒定義文件。這些工具可以幫助檢測和阻止潛在的木馬病毒;
5. 定期更新系統和程序:保持您的操作系統、電子郵件客戶端和其他應用程序的更新。這樣可以修補已知漏洞,減少被利用的風險;
6. 定期備份數據:定期備份您的重要數據,並將備份存儲在離線或安全的位置。這樣即使受到木馬病毒攻擊,您的數據也能得到恢復;
7. 培養安全意識:加強員工和自己的安全意識培訓,教育他們如何識別潛在的惡意郵件,並提醒他們不要隨意打開或執行可疑的附件;
8. 使用郵件安全防護設備:部署可靠且穩定的郵件安全網關、郵件安全沙箱等郵件安全防護設備;
9. 定期檢查安全防護設備:確保郵件安全網關、郵件安全沙箱等郵件安全防護設備的策略配置正確且生效,並確保設備的防護庫已升級到最新版本;
10. 鼓勵員工報告可疑郵件:如果收到可疑的病毒郵件,員工應及時將其報告給您的組織或相關機構,以幫助企業採取適當的行動保護其他員工;
Satacom下載程序,也稱為LegionLoader,是2019年出現的一個著名的惡意軟件家族。該惡意軟件利用查詢DNS服務器的技術獲取base64編碼的URL,以便接收當前由Satacom傳播的另一惡意軟件家族的下一階段。 Satacom惡意軟件通過第三方網站傳播,其中一些網站本身不提供Satacom,而是使用合法的廣告插件,攻擊者濫用這些插件將惡意廣告注入網頁。網站上的惡意鏈接或廣告將用戶重定向到惡意網站,如虛假的文件共享服務。
經測試,對應Web管理頁面的位置為Admin-Technicians,如下圖
添加域用戶不需要輸入域用戶的口令,如下圖
得到加密生成Password的代碼:
生成salt的代碼:
經動態調試,發現workload默認為12,生成的salt格式示例:$2a$12$DVT1iwOoi3YwkHO6L6QSoe,如下圖
具體加密算法getEncryptedPassword()的實現細節:
3.客服系统钓鱼引导等
4.积分系统针对脆弱的旁站
5.充值接口
6.找源代码分析某演示站泄露的源码白盒分析
然后修改密码登陆即可。
先尝试目录扫描看能不能发现一些后台之类的,这里我用的是dirsearch。
但是很遗憾,没有什么有价值的目录,连后台也扫不出来,但是这是在意料之中,毕竟大部分菠菜网站防护都做的挺好的。接下里尝试注册一个账号看看
尝试注入,发现加密,不会逆向的我只能暂时放弃。
注册成功后发现一个上传接口
上传成功但是查看后发现他是以id的形式存储,无法形成上传漏洞放弃。
这个网站拿不下来转换思路尝试对整个ip进行渗透,首先要对这个ip的全端口进行扫描,尽量获取到比较全的信息。获得了两个web页面。rocketmq,这个有最新版漏洞爆出来尝试
找到工具尝试攻击,但是失败不能执行命令。
还有另外一个登录界面
发现存在shiro框架
尝试爆破但是未发现秘钥。
看了一下burp发现他会访问登录页面再进行跳转
眉头一皱发现事情并不简单,在ip后随便加了一点,导致其报错,发现其使用的是spring框架。
Actuator 是 Spring Boot 提供的用来对应用系统进行自省和监控的功能模块,借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。Actuator
的核心是端点 Endpoint,它用来监视应用程序及交互,spring-boot-actuator 中已经内置了非常多的
Endpoint(health、info、beans、metrics、httptrace、shutdown等等),同时也允许我们自己扩展自己的
Endpoints。每个 Endpoint 都可以启用和禁用。要远程访问 Endpoint,还必须通过 JMX 或 HTTP 进行暴露,大部分应用选择HTTP。
并发现其中存在heapdump,下载下来。Heap Dump也叫堆转储文件,是一个Java进程在某个时间点上的内存快照。可以通过Eclipse MemoryAnalyzer工具对泄露的heapdump文件进行分析,查询加载到内存中的明文密码信息,比如redis密码,mysql数据库账号和密码。这里我用的是whwlsfb师傅的JDumpSpider
成功获取shiro的key
打入内存马。
获取管理员权限
