亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

如何將Python遠控隱藏在文檔圖片中

發布時間:2021-06-18 17:32:03 來源:億速云 閱讀:382 作者:chen 欄目:網絡安全

這篇文章主要講解了“如何將Python遠控隱藏在文檔圖片中”,文中的講解內容簡單清晰,易于學習與理解,下面請大家跟著小編的思路慢慢深入,一起來研究和學習“如何將Python遠控隱藏在文檔圖片中”吧!

1、概述

    近日,安天CERT通過網絡安全監測發現了一起惡意文檔釋放Python編寫的遠控木馬事件。通過文檔內容中涉及的組織信息和其中攻擊者設置的誘導提示,安天CERT判斷該事件是一起針對阿塞拜疆共和國國家石油公司進行的定向攻擊活動。此次事件中,攻擊者充分利用技術實現規避反病毒軟件查殺,具體為利用了隱寫術將遠控木馬相關文件以壓縮包格式存儲于惡意文檔里的圖片中以備后期提取利用。首先將該惡意文檔另存為docx文件,該文件格式具備ZIP文件的特性,然后另存為ZIP格式進行解壓并獲取其中的圖片,最后提取圖片中的遠控木馬文件。此遠控木馬采用Python語言編寫,具備一般遠控的上傳、下載和命令執行等功能。

2、事件對應的ATT&CK映射圖譜

   本報告中涉及事件為攻擊者針對目標系統投放惡意文檔,釋放并運行遠控木馬。通過梳理該事件對應的ATT&CK映射圖譜,揭示攻擊者在該事件中使用的技術點,如下圖所示:

如何將Python遠控隱藏在文檔圖片中

圖 2-1 此次攻擊活動的ATT&CK映射圖譜

具體的ATT&CK技術行為描述如下表所示:

表 2-1 事件對應的ATT&CK技術行為描述表

如何將Python遠控隱藏在文檔圖片中

3、樣本分析

3.1 樣本標簽

表3-1 樣本標簽

如何將Python遠控隱藏在文檔圖片中

3.2 樣本運行流程

當惡意文檔中的宏代碼運行后,存在兩個自動執行函數,在不同狀態下觸發執行。一個是當文檔狀態處于打開時觸發執行,通過創建目錄、拷貝、另存ZIP格式、解壓等操作獲取嵌入圖片中的Python編寫的遠控木馬;另一個是當文檔狀態處于關閉時執行,調用shell以隱藏窗口的方式執行bat遠控啟動腳本,進而運行遠控木馬腳本,該腳本主要功能為釋放vbs腳本文件(內容為調用bat遠控啟動腳本),并以該腳本為載體創建計劃任務,同時建立循環加載配置文件與C2建立連接,獲取指令,執行對應操作。

如何將Python遠控隱藏在文檔圖片中

圖 3-1 宏代碼創建和釋放的相關文件

如何將Python遠控隱藏在文檔圖片中

圖 3-2 樣本運行流程

3.3 惡意文檔分析

樣本為一個具有惡意宏代碼的Word文檔,從內容上看,是以SOCAR公司的名義偽造的一份“關于分析用催化劑的出口”的文檔,同時利用模糊效果和提示信息的手段,誘騙目標通過點擊“啟動宏”按鈕的方式可查看文檔詳細內容。SOCAR是阿塞拜疆共和國國家石油公司的簡稱,結合文檔內容,判斷這是一起針對阿塞拜疆共和國國家石油公司員工的惡意文檔投遞活動。

如何將Python遠控隱藏在文檔圖片中

圖 3-3 文檔內容

通過提取文檔中的宏代碼分析,主要有兩個觸發操作的函數“Document_Open()”和“Document_Close()”,同時該宏代碼存在大量混淆,具體是將“rqxjx”、“RXQYE”、“_RXQYE_20210329_092748_rqxjx_”字符大量嵌入到自定義變量和函數中,能夠在一定程度上規避反病毒軟件和干擾分析工作。

如何將Python遠控隱藏在文檔圖片中

圖 3-4 自動執行的相關函數

如何將Python遠控隱藏在文檔圖片中

圖 3-5 混淆的宏代碼

解混淆后,從Document_Open()函數中可以看到其中定義了一些文件路徑變量,通過MyFunc23函數解密相關路徑,依據這些變量創建相應目錄和文件,同時提取惡意文檔中利用隱寫術保存于圖片中的遠控木馬相關文件。

如何將Python遠控隱藏在文檔圖片中

圖 3-6 Document_Open函數內容

表3-2變量信息

如何將Python遠控隱藏在文檔圖片中

如何將Python遠控隱藏在文檔圖片中

圖 3-7 Python編寫的遠控相關文件

Document_Close函數功能為以隱藏方式運行遠控木馬啟動腳本,腳本文件即為“C:\Users\MA\AppData\Roaming\nettools48\”目錄下的runner.bat文件。該腳本文件初始設置了一定時間的延遲,而后運行當前文件夾下的遠控木馬腳本“vabsheche.py”。

如何將Python遠控隱藏在文檔圖片中

圖 3-8 運行遠控木馬啟動腳本

腳本內容如下:

如何將Python遠控隱藏在文檔圖片中

遠控木馬腳本內容主要分為三部分:

3.4 釋放的遠控木馬分析

第一部分定義了多個系統判斷函數,包括Windows、Linux和Mac OS X,同時讀取C2地址配置文件,獲取對應域名和端口。從系統判斷函數上看,雖然本次發現的腳本中只調用了Windows系統判斷函數,且后續內容只能在Windows系統上執行,但是不排除攻擊者后期會開發針對Linux和Mac OS X系統的腳本。

如何將Python遠控隱藏在文檔圖片中

圖 3-9 遠控腳本第一部分內容

第二部分定義一個task_registration函數,主要功能為將啟動腳本runner.bat的路徑寫入vbs腳本中,實現vbs腳本調用運行遠控,而vbs的調用,是通過調用schtasks命令創建計劃任務,實現每三十分鐘運行一次vbs腳本。最后以Windows系統判斷函數運行結果來觸發task_registration函數。

如何將Python遠控隱藏在文檔圖片中

圖 3-10 遠控腳本第二部分內容

最后一部分功能是C2命令處理過程,具體如下:通過同目錄下的證書文件“cert.pem”結合前期獲取的域名和端口,同C2建立連接,獲取C2返回信息。

如何將Python遠控隱藏在文檔圖片中

圖 3-11 連接C2代碼

在整體代碼上添加了循環和容錯處理,如果連接成功,則解析C2返回的信息,依據特定數據,執行不同的指令操作;連接失敗,則延遲120秒,繼續嘗試連接C2,持續運行此過程。遠控木馬C2地址:pook.mywire.org 端口:220。

表3-3 遠控木馬指令表

如何將Python遠控隱藏在文檔圖片中

4、總結

    由于該遠控木馬是用Python編寫,對應文件具備腳本文件特性,其實質文件格式為文本文件,相較于PE文件,這種文件格式在一定程度上能夠降低被反病毒軟件查殺的可能性,同時結合遠控木馬VT檢測結果,安天CERT認為這種腳本形式的遠控木馬將會更加頻繁的被攻擊者使用,甚至結合混淆編碼進行使用。

感謝各位的閱讀,以上就是“如何將Python遠控隱藏在文檔圖片中”的內容了,經過本文的學習后,相信大家對如何將Python遠控隱藏在文檔圖片中這一問題有了更深刻的體會,具體使用情況還需要大家實踐驗證。這里是億速云,小編將為大家推送更多相關知識點的文章,歡迎關注!

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

新民市| 苍山县| 镇原县| 沽源县| 康马县| 宁阳县| 墨玉县| 年辖:市辖区| 乌拉特中旗| 阿拉善右旗| 横峰县| 行唐县| 龙胜| 民县| 凌云县| 依安县| 全椒县| 永修县| 墨脱县| 闵行区| 怀化市| 礼泉县| 壤塘县| 咸宁市| 新化县| 武汉市| 河曲县| 宽城| 内江市| 芦山县| 鄂州市| 嘉禾县| 朝阳县| 太和县| 泸西县| 进贤县| 孙吴县| 宝鸡市| 二连浩特市| 盈江县| 固安县|