GZipDe Downloader发现Metasploit服务后门

  • A+
所属分类:网络安全新闻

来自AlienVault的安全专家发现了一款​​名为GZipDe的新型恶意软件 ,该软件曾用于网络间谍活动。
GZipDe是威胁演员用来从攻击者控制的服务器获取其他有效载荷的下载器。

GZipDe Downloader发现Metasploit服务后门

该恶意软件是在阿富汗用户上传VirusTotal服务的武器化Word文档后发现的,该文件是指上海合作组织峰会。

当时不可能将恶意代码归因于特定的参与者,VirusTotal不共享关于上传源的信息,并且攻击的目标未被披露,研究人员只能分析样本。

“看起来很有针对性,”AlienVault的安全研究员Chris Doman 告诉Bleeping Computer。“鉴于诱饵文件是英文的并且是从阿富汗上传的,它可能针对的是某个大使馆或类似的人。”

恶意代码是一个多阶段的恶意软件,攻击链从一个传播武器化的Word文档的鱼叉式钓鱼信息开始,最终的目标似乎是提供一个Metasploit后门程序。

“这是涉及多个服务器和工件的多阶段感染的第一步。虽然最终目标似乎是安装Metasploit后门程序,但我们发现了一个有趣的.NET下载程序,它使用自定义加密方法来混淆进程内存并逃避防病毒检测。“阅读 由Alien Vault发布的 报告。

该文档旨在欺骗受害者启用宏,然后执行存储为十六进制流的Visual Basic脚本,并在隐藏的Powershell控制台中执行新任务,该控制台下载PE32可执行文件。最终步骤包括交付GZipDe恶意软件。

GZipDe

GZipDe下载器是用.NET编写的,它实现了一种自定义加密方法来混淆进程内存并逃避防病毒检测。

在调查GZipDe下载器时,专家们注意到用于存储恶意软件获取的有效载荷的服务器已关闭。

进一步调查允许AlienVault在Shodan搜索引擎上查找有关服务器的信息,该服务器已将其编入索引并将其记录为Metasploit后门。

“有效载荷包含与175.194.42 [。] 8处的服务器联系的shellcode 。当服务器没有启动时,Shodan 记录 它服务于Metasploit有效载荷:“

“服务器, 175.194.42 [。] 8 , 提供了一个有效载荷的Metasploit。它包含shellcode绕过系统检测(因为它看起来有一个有效的DOS头)和一个Meterpreter有效载荷 - 一个有能力的后门。例如,它可以从系统收集信息并联系命令和控制服务器以接收更多命令。“

shellcode将整个DLL加载到内存中,这是一种无文件恶意软件,可能允许攻击者传输任何其他有效负载,以便获得提升的权限并在本地网络内执行横向移动。

Metasploit的选择并不新奇,APT组织如Cobalt Strike和CopyKittens 在他们的运动中采用了这种方式来强化攻击的归属。

CE安全网

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: