darkhotel组织的未曝光vbscript 0day漏洞分析 || BlackTech的最新TSCookie木马配置不当

释放双眼,带上耳机,听听看~!

威胁情报:

一、

darkhotel 在2017年3月前所利用的vbscript 0day漏洞分析

相关链接,点击原文链接即可:

http://blogs.360.cn/post/VBScript_vul_CH.html

二、

BlackTech的最新TSCookie木马配置不当

有关TSCookie的介绍,译文以及原文如下,已经很详细了

http://blog.jpcert.or.jp/2018/03/malware-tscooki-7aa0.html

https://www.anquanke.com/post/id/100374

本次报告中,同样由日本cert发布,此次攻击发生在2018年8月左右发生。

日本cert对木马更新情况进行了阐述

在之前的版本中,TSCookie在Cookie标头中包含加密内容来与C&C服务器进行通信

在新版本中,其不再使用Cookie进行标记。相反,加密内容放在URL参数中,如下所示:

如果从服务器收到对此HTTP GET请求的确认,则将发送HTTP POST请求作为下一步。通信功能与之前的TSCookie相同。

对于加密,仍然使用RC4,但密钥的生成方式不同。

配置方面

TSCookie拥有自己的配置信息,新版不同在于解码方式,

以前,TSCookie在配置开始时有4字节RC4密钥,用于解码。在新版本中,大小扩展到0x80字节。此更新使TSCookie无法读取部分配置。下图显示了复制加密配置(0x8D0字节)和RC4密钥(0x80字节)的代码

代码复制大小为0x8D4(0x8D0 + 4字节)的数据,其忽略了更新的RC4密钥大小。要正确复制更新的RC4密钥和配置,需要将其设置为0x950(0x8D0 + 0x80字节)。发生此错误时,无法正确解码配置。下图描述了如何解码TSCookie配置。(左错右对)

0x89C字节(4字节)的数据指定重新连接到C&C服务器之前的等待时间(秒)。攻击者最初将其设置为99(0x63)秒(如右图所示),然而,由于未正确读取,因此几天后它将不会重新连接(左图)。

hash:

a5c75f4d882336c670f48f15bf3b3cc3dfe73dba7df36510db0a7c1826d29161

c&c:

mediaplayer.dnset.com

mediaplayers.ssl443.org

fashion.androiddatacenter.com

sakurings.flnet.org

解析服务器ip大多为台湾,有一个是日本的

详情见链接,介绍只描述重要特征:

https://blogs.jpcert.or.jp/en/2018/11/tscookie2.html

安全资源

一、大佬的渗透测试工具资源

https://github.com/ropnop/serverless_toolkit

simple_redirect

https://github.com/ropnop/serverless_toolkit/tree/master/simple_redirect

Request Dump

https://github.com/ropnop/serverless_toolkit/tree/master/req_dump

ssrf_slack

https://github.com/ropnop/serverless_toolkit/tree/master/ssrf_slack

xxe_server

https://github.com/ropnop/serverless_toolkit/tree/master/xxe_server

massdns

https://github.com/ropnop/serverless_toolkit/tree/master/massdns

webshell

https://github.com/ropnop/serverless_toolkit/tree/master/webshell

相关链接:

https://blog.ropnop.com/serverless-toolkit-for-pentesters/

二、PHP恶意软件分析,对于我这种菜鸡来说还是涨知识的

https://blog.manchestergreyhats.co.uk/2018/11/07/php-malware-examination/

三、

awesome-sec-talks – 从 2012 年到 2018 年各安全大会的视频资源列表:

https://github.com/PaulSec/awesome-sec-talks/

更多见知识星球,知识星球发布了文章系统,体验不错

本文源自微信公众号:黑鸟

人已赞赏
安全工具

一种针对手机游戏主播的网络攻击手法

2019-10-16 10:35:40

安全工具

欧洲刑警组织捣毁全球第二大暗网交易平台“华尔街市场”

2019-10-16 10:35:44

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索