github某0day漏洞投毒与钓鱼样本分析

news2024/12/25 0:15:28

前言

近日,烽火台实验室监测到多起针对安全人员的钓鱼攻击。其中一例利用MS Office Word 0DAY进行钓鱼,在github.com和Telegram群组中公开0DAY利用程序,其中并没有包含真正的利用程序,但是却捆绑了木马。运行后下载和执行木马程序,木马使用TOR匿名网络连接黑客控制服务器,接受黑客控制。平时下载运行网络上的漏洞利用程序时要多加小心,避免成为黑客的“肉鸡”。

样本信息

钓鱼地址:https://github.com/researchkendra91(目前已无法访问)

钓鱼地址:https://github.com/octosec45/ms-word-rce-0day-poc-2023(目前仍存活)

样本名:poc.py

MD5:70182e6523bf1d9106055881b5c93e49

SHA256:c2bcda29fed175e127bf4ba66de7144509ad7d34627020444a36466b39ffcd9f

样本名:cveswindows.exe

MD5:1daf1ae4b628a3a2dabacfe41a81b893

SHA256:01055e217335489d11bfba457b0ced01a06afe2270e4eec442347c93794df578

样本名:cveslinux

MD5:f9b1f07ce6c2cd4a26461124a483ae46

SHA256:e582650a3e9db2f77022317db1c2c9f01411ef5333d83bd52fd9b11102a3cdfd

poc.py分析

在github.com上的钓鱼页面中,包含了MS Office Word 0DAY利用程序poc.py和一段使用帮助,如下图所示:

在poc.py的末尾,有段帮助信息,表明这是CVE-2023-40454的利用程序,如下图所示:

初步看起来好像没什么问题。但是一查发现,CVE-2023-40454并不存在。如果再仔细点,在poc.py中,还有一段可疑代码,如下图所示:

这段代码根据Win或者其他系统,分别访问

https://github.com/octosec45/ms-word-rce-0day-poc-2023/raw/main/gitignore/cveswindows.zip

或者

https://github.com/octosec45/ms-word-rce-0day-poc-2023/raw/main/gitignore/cveslinux.zip

下载不同的zip文件,然后解压再运行,解压密码为“cVe35364%”。

本次分析Win系统下的木马程序cveswindows.zip,其中包含cveswindows.exe,功能与其他版本(cveslinux.zip)的木马基本相同。

cveswindows.exe在2023-05-05被上传到virustotal.com进行检测,其中有用户表明该样本曾出现在Telegram群组的钓鱼文件中,如下图所示:

cveswindows.exe分析

该样本使用go语言编写,反编译后可以看到大量引用的go模块字符串,原始工程文件名为implant_windows.go,go版本为go1.20.2,如下图所示:

样本运行后,将执行一个名为port_check的函数,该函数主要检测本地端口1337是否开启,如果没有开启,则继续往下执行;如果开启,则退出程序。该功能可以实现只运行一个实例,如下图所示:

然后判断是否是管理员,再判断

%ProgramFiles%和%LOCALAPPDATA%路径下是否特定文件夹名,文件夹名包括:WindowsUpdateTaskUAACore、ChromeUpdateTaskMachinCore、ChromeUpdateTaskMachinCore等。如果不存在,则复制自身文件到其中一个文件夹下,再创建任务计划,每天18:00启动木马程序,如下图所示:

接下来访问“https://dist.torproject.org/torbrowser”,下载tor-expert-bundle并解压,然后释放tor.exe、obfs4proxy.exe和TOR网络连接需要的配置文件到创建计划任务时的木马exe路径下,文件夹名为随机命名,然后配置TOR连接,再启动tor.exe,完成TOR网络的连接。如下图所示:

使用TOR网络访问“https://ipinfo.io/json”,获取当前主机的外网IP,归属地,所属国家等信息,如下图所示:

然后获取计算机名、用户名、操作系统版本、名称,CPU等基本信息,最后再加密获取的信息,如下图所示:

将加密的信息通过TOR网络发送到“http://yr7dhedoqr7tacpxt6xdeh6bponmp53rbfaf74iis37v4vf6vfd2vkyd.onion/0011378b1fe87c721bbd4e4e2d3d26111869c51cd37960dbe518aade0b6529aa”,进行上线,如下图所示:

上线成功后,将接受服务器返回的信息,然后解析数据执行黑客命令,可以实现上传指定文件、下载指定文件、创建cmd.exe或powershell.exe执行程序。笔者调试时,未返回有效数据。

上传指定文件相关代码,如下图所示:

下载指定文件相关代码,如下图所示:

创建cmd.exe执行程序相关代码,如下图所示:

创建powershell.exe执行程序相关代码,如下图所示:

此外,代码中还包含名为spread_USB的函数,实现USB传播木马的功能,但是还有复杂的逻辑判断后才运行该功能,笔者暂时没有找到启用该功能的条件。如下图所示:

还包含名为spread_Cryptohijack的函数,实现替换剪贴板中的数字货币BTC地址,但是也有复杂的逻辑判断后才运行该功能,笔者暂时没有找到启用该功能的条件。如下图所示:

最后监听本地端口1337,对应port_check的函数中的检测端口功能,表明木马已经在运行中。如下图所示:

参考链接

https://www.virustotal.com/gui/file/01055e217335489d11bfba457b0ced01a06afe2270e4eec442347c93794df578/community

样本地址

https://github.com/webraybtl/vulnerability0DAY

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/535353.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

git rebase问题:First, rewinding head to replay your work on top of it

分支上使用 git rebase 主干名 同步代码时提示&#xff1a; First, rewinding head to replay your work on top of it... 具体信息如截图&#xff1a; 用下面的命令可以解决&#xff1a; git fetch origin; git reset --hard origin/<branch>

UM2002 一款低功耗SUB-1G 无线接收机芯片

UM2002 是一款工作于 200MHz~960MHz 范围内的低功耗、高性能、单片集成的(G)FSK/OOK 无线接收机芯片。内部集成完整的射频接收机、频率综合器、解调器&#xff0c;只需配备简单、低成本的外 围器件就可以获得良好的接收性能。 芯片支持灵活可设的数据包格式&#xff0c;支持数据…

技术如何通过API接口获取自己想要同款商品的数据

一、随着电子商务的兴起&#xff0c;越来越多的人开始关注如何通过API接口获取自己想要同款的商品数据。本文将介绍如何利用API接口获取商品数据&#xff0c;以及一些必要的步骤和注意事项。 第一步&#xff1a;寻找适当的API接口 在开始获取商品数据之前&#xff0c;我们需要…

力扣 239. 滑动窗口最大值

题目来源&#xff1a;https://leetcode.cn/problems/sliding-window-maximum/ C题解&#xff1a;用暴力解法会超时。下面题解参照代码随想录 为了使队列窗口能快速找对最大值&#xff0c;自定义一个单调队列&#xff0c;队首为最大值&#xff0c;每次push进去的元素值都比队列…

FPGA纯verilog代码实现H264视频压缩 提供工程源码和技术支持

这里写目录标题 1、前言2、我这里已有的视频图像编解码方案3、H264视频压缩理论4、H264视频压缩-性能表现5、H264视频压缩-设计方案6、Vivado工程详解7、Vivado功能仿真8、福利&#xff1a;工程代码的获取 1、前言 H264视频压缩与解码在FPGA图传领域应用广泛&#xff0c;Xilin…

java+springboot基金股票信息系统的设计与实现

Spring Boot 是 Spring 家族中的一个全新的框架&#xff0c;它用来简化Spring应用程序的创建和开发过程。也可以说 Spring Boot 能简化我们之前采用SSM&#xff08;Spring MVC Spring MyBatis &#xff09;框架进行开发的过程。基于JAVA的基金分析系统包括后台管理和前端。前…

31从零开始学Java之详解如何定义方法

作者&#xff1a;孙玉昌&#xff0c;昵称【一一哥】&#xff0c;另外【壹壹哥】也是我哦 千锋教育高级教研员、CSDN博客专家、万粉博主、阿里云专家博主、掘金优质作者 前言 经过前面两篇关于面向对象、类和对象的文章&#xff0c;壹哥相信你现在对面向对象已经有了基本的了解…

微信小程序配置实现中英文国际化语言切换

目录 1,在根目录新建文件夹和js文件 2. 在main.js中设置全局语言状态&#xff08;默认设置为中文&#xff09; 3. 页面添加 语言切换按钮&#xff08;登录页面&#xff09; 4. 在需要显示的页面导入使用 1,在根目录新建文件夹和js文件 根目录新建一个locales.js文件, 通用…

苹果手机通话怎么录音?通话录音的详细教程!

案例&#xff1a;iPhone怎么一边通话一边录音&#xff1f; 【苹果手机通过普通的方式不能边通话边录音&#xff0c;有什么方法可以帮到我吗&#xff1f;感谢&#xff01;】 录制通话可以帮助用户记录重要的电话内容&#xff0c;如商务谈判、家庭事务等。但是录音涉及隐私&…

Java基础(41)Java输入/输出流

在Java中所有数据都是使用流读写的。流是一组有序的数据序列&#xff0c;将数据从一个地方带到另一个地方。根据数据流向的不同&#xff0c;可以分为输入&#xff08;Input&#xff09;流和输出&#xff08;Output&#xff09;流两种。 什么是输入/输出流 Java 程序通过流来完…

Unity3D :创建您的第一个运行时 UI

ygtu May 16, 2023 • 27 min read 推荐&#xff1a;将 NSDT场景编辑器 加入你的3D工具链 3D工具集&#xff1a; NSDT简石数字孪生 创建您的第一个运行时 UI 本页将指导您完成使用 UI 工具包设置简单字符选择屏幕的步骤。它涵盖了 UI 元素和模板的创建、场景设置以及如何将脚…

公网SSH远程连接Termux - 电脑使用安卓Termux【cpolar内网穿透】

文章目录 1.安装ssh2.安装cpolar内网穿透3.远程ssh连接配置4.公网远程连接5.固定远程连接地址 使用安卓机跑东西的时候&#xff0c;屏幕太小&#xff0c;有时候操作不习惯。不过我们可以开启ssh&#xff0c;使用电脑PC端SSH远程连接手机termux。 本次教程主要实现在安卓手机te…

如何提高PID控制器离散化精度(SCL+梯形图代码)

通常采样率(执行频率)1/Ts的典型取值为闭环带宽的5~10倍。实际上大部分工程采样率范围会使我们所期望的闭环性能下降,要忽略采样造成的影响,采样率至少是典型值的10倍。原则上,采样率1/Ts在允许的计算能力范围内越大越好。当采样率较低时,提高PID控制器离散化精度的一种方…

DSSR122 4899001-NK汽车电子电气架构进化的终点在哪里

​ DSSR122 4899001-NK汽车电子电气架构进化的终点在哪里 随着人们对汽车性能要求的不断提高&#xff0c;越来越多的汽车电子/电气&#xff08;E/E&#xff09;架构系统被集成到汽车中&#xff0c;成为智能交通、自动驾驶、智能城市等更广泛生态系统的组成部分。汽车行业自动化…

Spring Boot 集成 Redis

Spring Boot 集成 Redis 一 集成Jedis1.1 Jedis1.2 集成步骤1.2.1 建Module1.2.2 改POM1.2.3 写YML1.2.4 主启动1.2.5 业务类 二 集成lettuce2.1 lettuce2.2 lettuce Vs Jedis2.3 集成步骤2.3.1 改pom2.3.2 业务类 三 集成RedisTemplate3.1 单机集成3.1.1 POM3.1.2 YML配置3.1.…

terrapos处理pospac数据(二)

上篇&#xff08;参考文献2&#xff09;说到terrapos不能处理pospac中的GPS数据&#xff0c;博主猜测可能的原因是没有记录主天线、方向天线和差分天线的原始数据&#xff0c;但是&#xff0c;即使记录这三种原始数据&#xff0c;当从pospac中提取IMU和GPS数据的时候&#xff0…

macOS Ventura 13.4 RC3(22F66)发布

系统介绍 5 月 17 日消息&#xff0c;苹果今日向 Mac 电脑用户推送了 macOS 13.4 RC 3 更新&#xff08;内部版本号&#xff1a;22F66&#xff09;&#xff0c;本次更新距离上次发布隔了 5 天。 macOS Ventura 带来了台前调度、连续互通相机、FaceTime 通话接力等功能。其中&…

我和C++的故事---第一次见面.

&#x1f4dd;个人主页&#xff1a;认真写博客的夏目浅石. &#x1f3e0;学习社区&#xff1a;夏目友人帐. 文章目录 前言一、第一个C程序二、C 关键字(C98)三、命名空间1、命名空间的定义2、命名空间的使用3、命名空间的三种展开方式 四、C输入&&输出&&换行1、…

doxygen: 在Windows上源码编译

文章目录 1. 目的2. 思路3. 安装 Chocolatey4. 用 choco 安装 bison 和 flex安装 gs:安装 libiconv 5. 编译报错 1. 目的 在 windows 上源码编译 doxygen&#xff0c; 改代码加功能。 2. 思路 doxygen 依赖 flex 和 bison&#xff0c; 手动编译 flex 和 bison 很麻烦可以用…

孤独患者的树洞?AI情感陪伴是如何实现的?

一、人工智能大模型 自ChatGPT发布以来&#xff0c;越来越多的中国企业和研究机构扎堆冲入AI大模型赛道&#xff0c;试图在自然语言处理、机器翻译、问答等方面取得重大突破。在未来&#xff0c;这些模型有机会应用于金融、医疗、电商等各领域。 人工智能大模型的应用不仅可以…