恶意文件家族:
ShellcodeRunner
威胁类型:
后门
简单描述:
近日,深盾实验室在运营工作中发现攻击者通过Github发布带有后门的Godzilla插件。
恶意文件描述
近期,深盾实验室在运营工作中发现Github存在一个钓鱼项目,截止到分析日期已有96 stars,15forks。
恶意文件分析
Jar包分析
在jar包静态代码块中调用了SuoMemProxy::initView函数,并在initView函数中判断系统类型随后进入到suo5Version函数中
在suo5Version函数中首先从资源图片中提取压缩的字节码,再通过decodeGzipHex函数解压缩,随后将字节码转换为类并调用其中的run函数,可以在外部重写showIcon、decodeGzipHex函数之后将提取出来的class保存到文件中,保存之后反编译内容如下:
run函数中将变量var1解码之后保存到Temp目录下的microsoft10192*.cache该文件实际为attach.dll,之后通过System.load函数加载该文件,随后使用enqueue函数执行传入run函数的Shellcode。
Shellcode分析
将提取出来的shellcode转换成exe导入x64dbg中,发现shellcode存在大量解密行为,边解密边执行:
解密之后连接C2地址:45.76.176.189通过https访问/jquery-3.7.0.min.js
返回数据为html页面,猜测服务器数据已修改导致返回数据无效,而该样本则是持续向服务器发送请求。
IOC
https://45.76.176.189/jquery-3.7.0.min.js
https://45.76.176.189/jquery-3.8.0.min.js
FC0669C42C96FB9008FAAB07D5B8C4F3
9cb293e9438491d944ff9bad8643d6ff(白)
ac775fb845196b43396af1705ff9b5c3(白)
解放方案
处置建议
1、不要打开来历不明的邮件及其里面的附件或链接。
2、使用开源文件时先分析是否存在后门。
3、安装杀软并保持更新。
深信服解决方案
【深信服统一端点安全管理系统aES】
已支持查杀拦截此次事件使用的病毒文件,请更新软件(如有定制请先咨询售后再更新版本)和病毒库至最新版本,并接入深信服安全云脑,及时查杀新威胁;
【深信服下一代防火墙AF】的安全防护规则更新至最新版本,接入深信服安全云脑,“云鉴” 服务即可轻松抵御此高危风险。
【深信服安全感知管理平台SIP】建议用户及时更新规则库,接入深信服安全云脑,并联动【深信服下一代防火墙AF】实现对高危风险的入侵防护。
【深信服安全托管服务MSS】以保障用户网络安全“持续有效”为目标,通过将用户安全设备接入安全运营中心,依托于XDR安全能力平台和MSSP安全服务平台实现有效协同的“人机共智”模式,围绕资产、脆弱性、威胁、事件四个要素为用户提供7*24H的安全运营服务,快速扩展持续有效的安全运营能力,保障可承诺的风险管控效果。
原文始发于微信公众号(深信服千里目安全技术中心):【恶意文件】Gozilla插件投毒分析
