SideCopy组织最新攻击武器披露(2)
时间:2023-01-10 03:00 来源:网络整理 作者:采集插件 点击:次
|
同时,向%AppData%Localtemptmp.bat文件写入“REG ADD "HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun" /V "Edge" /t REG_SZ /F /D "C:UsersadminAppDataLocalMicrosoftEdgeMicrosoftEdgemspaint.exe"”并执行,通过添加注册表的方式实现自启动。
最后释放MicrosoftEdge.exe,并启动白文件mspaint.exe,侧加载同目录下的MSFTEDIT.dll,通过MSFTEDIT.dll加载最终MicrosoftEdge.exe恶意程序。
3.最终攻击组件分析
MSFTEDIT.dll的信息如下:
文件名称
MSFTEDIT.dll
文件大小 179712 字节 MD5 0c500ae37ddcac48262c3c35d787a4f1 其功能就是利用WinExec执行MicrosoftEdge.exe。 最终恶意载荷的信息如下: 文件名称 MicrosoftEdge.exe文件大小 7936000字节 MD5 b3fd3d932fa7af749f4a0eb52a8dd811 MicrosoftEdge.exe是SideCopy组织最新使用的基于Golang语言的Windows远控木马。 通过恢复Golang木马的符号信息,发现攻击者使用的RAT组件是基于开源Spark RAT木马进行修改的。 其使用的Spark RAT通过开源的websocket库与C2进行交互。 然后通过开源的machineid和gopsutil库获取主机ID、IP地址、MAC地址、CPU信息、内存信息、主机名、用户名等主机信息进行上传。 此外,本次捕获到的最终载荷支持如下多种远控功能,与最新版Spark相比,删除了一些网络状态、文件删除、远程桌面管理等部分功能。 命令号 功能 OFFLINE 关闭连接 LOCK 锁屏 LOGOFF 注销 HIBERNATE 休眠 SUSPEND 挂起 RESTART 重启 SHUTDOWN 关机 SCREENSHOT 截图 FILES_LIST 枚举文件 FILES_FETCH 取文件 PROCESSES_LIST 枚举进程 PROCESS_KILL 杀死进程 TERMINAL_* (责任编辑:admin) |