攻击技术研判 | 不讲武德,再次发现投毒的“漏洞工具”

逆向病毒分析 2年前 (2022) admin
461 0 0
攻击技术研判 | 不讲武德,再次发现投毒的“漏洞工具”

情报背景

该项目由名为FuckRedTeam 的 github 用户于2022年7月24日发布,项目描述为国内某安全厂商产品的远程执行漏洞脚本。项目会从常用 UserAgent 库中加载fake_useragent包,实际上则被导入了投毒的fake_useragant-0.1.12包,当前投毒的fake_useragant-0.1.12已经被从pypi的官方库中删除。

攻击技术研判 | 不讲武德,再次发现投毒的“漏洞工具”


组织名称

未知

关联组织

未知

战术标签

供应链、投毒、钓鱼

技术标签

python

情报来源

https://github.com/FuckRedTeam/360tianqingRCE


01 攻击技术分析

亮点1 仿冒fake_useragent进行投毒

引入的恶意fake_useragant,注意官方的拼写为fake_useragent(e被替换成a)

攻击技术研判 | 不讲武德,再次发现投毒的“漏洞工具”


fake_useragant中的urlib2.py被投毒

攻击技术研判 | 不讲武德,再次发现投毒的“漏洞工具”


疑似加密的恶意代码

攻击技术研判 | 不讲武德,再次发现投毒的“漏洞工具”


解密后的执行代码,从远程加载运行后续代码

攻击技术研判 | 不讲武德,再次发现投毒的“漏洞工具”


亮点2 套娃解密shellcode

PNG文件经过解密后,又是一段执行代码,经过2次套娃解密,最终将解密出shellcode创建线程加载运行。


整体步骤如下:

1. urlib2.py 解密加密代码,拉取解密远程的png文件,并执行解密后的二段代码

2. 二段代码使用AES解密执行代码,并执行

3. 再次使用AES解密出最终的shellcode,申请内存并创建进程执行

攻击技术研判 | 不讲武德,再次发现投毒的“漏洞工具”


png文件解密结果,其中使用了AES库进行下一段解密

攻击技术研判 | 不讲武德,再次发现投毒的“漏洞工具”


创建的线程来运行解密后的shellcode

攻击技术研判 | 不讲武德,再次发现投毒的“漏洞工具”


02 总结

供应链攻击防不胜防。近期投毒事件频发,此次投毒绝不是唯一一次,大家在使用工具一定要擦亮眼睛,不要使用来源不明的工具软件。


攻击技术研判 | 不讲武德,再次发现投毒的“漏洞工具”

绿盟科技天元实验室专注于新型实战化攻防对抗技术研究。

研究目标包括:漏洞利用技术、防御绕过技术、攻击隐匿技术、攻击持久化技术等蓝军技术,以及攻击技战术、攻击框架的研究。涵盖Web安全、终端安全、AD安全、云安全等多个技术领域的攻击技术研究,以及工业互联网、车联网等业务场景的攻击技术研究。通过研究攻击对抗技术,从攻击视角提供识别风险的方法和手段,为威胁对抗提供决策支撑。


攻击技术研判 | 不讲武德,再次发现投毒的“漏洞工具”

M01N Team公众号

聚焦高级攻防对抗热点技术

绿盟科技蓝军技术研究战队

攻击技术研判 | 不讲武德,再次发现投毒的“漏洞工具”

官方攻防交流群

网络安全一手资讯

攻防技术答疑解惑

扫码加好友即可拉群


往期推荐

攻击技术研判 | Symbiote“共生体”-利用eBPF技术的高隐匿Rootkit

攻击技术研判 | 不讲武德,再次发现投毒的“漏洞工具”

攻击技术研判 | 基于进程虚拟机的混淆分析对抗技术

攻击技术研判 | 不讲武德,再次发现投毒的“漏洞工具”

攻击技术研判 | 利用Media player函数代替AutoOpen自动执行宏代码

攻击技术研判 | 不讲武德,再次发现投毒的“漏洞工具”


原文始发于微信公众号(M01N Team):攻击技术研判 | 不讲武德,再次发现投毒的“漏洞工具”

版权声明:admin 发表于 2022年7月25日 下午7:24。
转载请注明:攻击技术研判 | 不讲武德,再次发现投毒的“漏洞工具” | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...