USDT自动充值

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

FortiGuard实验室的研究职员日前发现了一个名为“Netbounce”的攻击组织正实验使用进入白名单的方式实验逃避平安检查,受影响的平台包罗Windows,Linux,MacOS。 现在研究职员已将其威胁严重性划分到“严重”级别。

2月12日,FortiGuard实验室收到了一封来自Packity Networks公司的电子邮件请求,要求将他们的程序列入白名单。发件人声称FortiGuard的平安程序误将其程序清扫在黑名单之外,对他们的营业造成了重大影响。

那时,只有Fortinet和Dr.Web sandbox将链接中的文件列为恶意文件。

收到电子邮件时VirusTotal对setup.exe的检测

只管乍一看,将其符号为恶意程序似乎是无辜的,而且险些没有其他平安供应商符号过该文件,但FortiGuard总是在响应之前彻底考察此类请求。经由仔细地考察,FortiGuard平安研究职员发现了一个名为“Netbounce”的新型攻击组织,现在研究职员已经发现了该组织所流传的恶意程序的基础结构,以及其脱颖而出的怪异的工具和手艺组合。现在研究职员已经找到该组织开发的几种变体,每种变体都有差其余功效。

在此文中,研究职员将先容Netbounce组织接纳的种种实验逃避攻击的措施。

手艺剖析

在最先剖析样本之前,首先要注重的是,来自电子邮件的链接(hxxps://packity.com/setup.exe)没有提到Packity Networks公司的网站,包罗没有可见的超链接,也没有提到文件或类似的名称等等。此外,可以通过网站上的另一个URL找到“官方”安装程序:hxxps://www.packity.com/pub/desktop/Packity-latest.exe。

从下表可以看出,这些安装程序是完全差其余。

通过链接可以看到官方安装程序和setup.exe之间的主要区别

然则,这自己并不是一个异常可靠的指标,由于可能有合理的缘故原由会导致差异,例如,已安装的应用程序随后会下载并使用该setup.exe文件。此外,这两个可执行文件均未显示出任何显著的恶意行为,而且均已使用揭晓给“平安网络客栈”的统一证书举行了有用署名。

然则,研究职员在Secured Network Stack和Packity Networks Inc.上举行的靠山考察没有获得任何效果。没有注册公司或这些实体的官方参考,研究职员也无法在网上找到任何员人为料。然则,基于Twitter帐户,Packity似乎已经在其网站上拥有至少两年的在线营业,而且研究职员发现了对该程序的谈论。

来自VirusTotal的setup.exe数字署名信息

可疑代码署名

只管可执行文件是用相同的证书署名的,但研究职员注重到该证书是用一个不相关的电子邮件地址session123@me.com揭晓的。证书是在2020年9月2日揭晓的,以是研究职员搜索Packity使用的旧证书,并找到了一个更旧的安装程序。对比旧的署名确认了联系信息确实与公司无关。

用于对可执行文件举行署名的旧安装程序(左)和当前(新)平安网络客栈署名的信息对比

“@me.com”域仅属于2012年9月19日之前确立的苹果邮件账户,可以在苹果支持网站上看到:

苹果支持站点地址为@me.com电子邮件域

只管使用另一封电子邮件似乎很新鲜,但新证书是在前一个证书于2020年9月3日到期时才签发的,这可能注释它不是恶意的。

敏锐的读者可能还注重到,带有新证书的署名没有时间戳署名。在署名代码时,这种情形异常少见,而且网站上的“官方”安装文件确实带有时间戳。因此,其中一定有问题

二进制的应用

如上所述,执行setup.exe不会提供任何明确的恶意指标。然则,研究职员确实考察到以下行为:

1.自我复制到 “C:\Windows\Net Helper\net-helper.exe”;

2.使用复制的文件确立了一个名为“Net Helper”的服务

3.启动服务并退出该历程;

4.然后新服务历程实验每5分钟毗邻一次hxxps://update.netbounce.net/check;

这种行为对于安装程序来说是不正常的,缘故原由如下:

1.没有发生用户交互;

2.通常不会在c:\ windows中确立新文件夹;

3.程序的现实文件都没有被解压缩,而且安装程序只是自我复制;

通过查看代码,研究职员可以看到它是用Go编程语言编写的,并具有一个名为equinoxUpdate的函数。凭证官网先容,Equinox可辅助用户构建、打包并将自我更新的Go应用举行流传;提供付费托管设计,并提供开源客户端SDK。

Equinox文档

现实上,除了设置持久性之外,可执行文件的大多数功效基本上都是使用硬编码的AppId“test”的Equinox客户端。没有其他对Equinox名称空间的引用,这意味着它与源代码一起使用,而不仅仅是作为导入包使用,因此研究职员检查了对其所做的任何更改。研究职员发现,除了上面列出的更新的URL外,HTTP User-Agent报头还被设置为“Netbounce/1.0”。

有用地更改URL意味着将不使用公共Equinox服务器,然则通过使用相同的协议,更新机制可能仍然看起来正当。

在研究职员举行剖析时,更新机制未下载任何内容。然则,攻击者有可能只是保留了使用它的选项,并在未来提供恶意有用载荷。

深入剖析

在这一阶段,研究职员遇到了障碍。有许多看起来很新鲜的指标:大略的公司,缺少公司网站上引用的可执行文件,具有可疑属性的数字署名以及没有任何实质功效的应用程序。然则,只管看起来可疑,但研究职员没有任何详细证据证实它确实是恶意的。此时,研究职员决议实验查找使用相同证书署名的其他文件,以期获得新的线索。

研究职员能够追踪其他样本,这些样本与研究职员在电子邮件中收到的样本具有相似的属性。其中,研究职员确定了针对Linux和MacOS编译的示例以及现实的恶意功效。

在一个名为“Net Helper GUI.exe”的野外发现的样本在所有属性上险些相同:

文件巨细:7MB;

编程语言:Go;

执行路径:%windir%\ Net Helper \ net-helper.exe;

首次发现时间:2021年2月14号;

对可执行文件举行剖析对比后,研究职员确认两个样本都具有相同的开发者。此外,它还显示它有分外的功效:

正确函数匹配:5074;

,

Usdt第三方支付接口

菜宝钱包(www.caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

,

部门函数匹配:29。

Net Helper GUI.exe仅有的功效:164(新功效)。

Setup.exe仅有的功效:34(不包罗真正的功效)。

通太过析这些差异,研究职员发现函数main_run在尚未安装服务的分支上具有其他代码。在安装服务之前,将挪用函数“main_setupNetUpdater”以通过对boostfever.com的HTTP GET请求下载并执行下一阶段的有用载荷。使用URL路径和域举行硬编码后,子域可以是:

1.随机天生的UUID - hxxp://0857a813-72ca-4a70-883a-3b555f6bf3c1.boostfever.com/progwrapper.exe。

2.硬编码的“cdn”字符串—— hxxp://cdn.boostfever.com/progwrapper.exe。

在后面的部门中,研究职员将详细先容progwrapper.exe。

main_run的图形视图,其中添加了基本块(突出显示)

在运行有用载荷之前,当前用户每次使用新会话登录时,也都需要通过注册表将其保持在盘算机上:HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\net-helper。

研究职员发现此类下载器包罗在文件和MSI安装程序中。在可能的熏染前言之前,请先确认未安装该服务,然后再放置此功效,这是示例首次在系统上执行时的情形。

Equinox客户端用作导入包,因此可以完整保留名称空间,以及默认URL(https://update.equinox.io/check)和User-Agent(EquinoxSDK / 1.0)。在研究职员检测到的所有样本中都使用了硬编码的AppId(app_6EE4wBvjBhS)。在服务中经由5分钟的计时器后,将从Equinox服务器中提取更新。

更新后的文件是“Net Helper”的另一个变体,它具有经由修改的Equinox客户端(如setup.exe中一样),然则AppId是使用盘算机的序列号天生的,研究职员将这些样本称为更新后变体。

反向署理

反向署理在种种示例(更新前后)中包罗的另一个功效是反向署理,它可以有用地授予其操作员在受熏染网络内部的驻足点,同时绕过外围防火墙计谋。它的潜在目的还可能是在对其他组织中的目的执行操作时,将受熏染的盘算机作为跳转点。

此功效是使用开源隧道包实现的,服务运行时,会将HTTP GET请求发送到外部服务器,例如hxxp://connect.netbounce.net/manage.json,以获取用于入站通讯的署理服务器的地址。一旦样本毗邻到指定的服务器,操作员就可以最先通过受熏染盘算机署理HTTP / TCP毗邻。

编译后的二进制文件中的程序包名称为“netbounce”或“proxy”。该程序包现成可用,仅支持在内陆主机上重定向流量。在研究职员的案例中,是受害者的盘算机。恶意程序开发者更改了代码,以允许他们凭证规范毗邻到其他盘算机。

针对原始源代码的TCPProxy.Proxy函数的反汇编

MacOS和Linux变体

使用Go编程语言,使攻击者可以轻松地将其操作扩展到MacOS和Linux,由于可以很容易地将源代码编译为其他操作系统。

对于MacOS,研究职员发现了一个带有安装后剧本的应用程序包,该剧本下载具有相同硬编码Equinox AppId(app_6EE4wBvjBhS)的更新前变体。它还包罗具有相同治理URL(hxxp://connect.netbounce.net/manage.json)的反向署理功效。


程序包中包罗的安装后剧本

对于研究职员考察到的更新后样本,没有从netbounce.net域中提取其他更新。行使Equinox客户端与该服务器举行通讯这一事实,研究职员找出了响应有用更新请求而提供文件的URL。通过这种方式,研究职员自己发出了请求并获得了一个ELF样本,研究职员将其归类为更新后的变体。

程序包装

回到progwrapper.exe可执行文件,研究职员确定它也是在Go中开发的。它将HTTP GET请求发送到硬编码的URL(hxxp://cdn.boostfever.com/ex.json),该URL返回以下JSON工具作为响应:

响应中的ex.json

凭证“类型”字段,它检查提供的路径中是否存在一个文件或注册表项,然后继续从“download_url”下载并执行文件,函数main_downloadAnotherExecutable也存在于“Net Helper GUI.exe”中。该代码是共享的,只有一点小差异,与功效自己无关。

在本文的示例中,output40.exe是最终的有用载荷。它装有一个多级封装程序,拆包后,研究职员发现从该基础结构中交付了差其余窃取程序,例如Vidar和FickerStealer。研究职员考察到了封装程序的差异变体,因此研究职员估量它也是该交付基础结构的一部门。拆包后,将使用反射加载或Process Hollowing手艺在内存中执行有用载荷。

有趣的是,FickerStealer的第一个操作是确立文件“Trackingfolder084 \ start.txt”。该字符串以二进制形式举行了硬编码,这示意了该字符串与Netbounce基础结构之间的亲热关系。

较新版本的progwrapper.exe添加了基本的远程下令执行功效,可以取代下载和执行使用该功效。该变体还通过HTTPS使用差其余硬编码域t1.xofinity.com,而且使用AES算法对响应举行加密。新鲜的是,HTTP User-Agent标头设置为“Netbounce / 1.0”。

毗邻点

“Netbounce”用作域名,用户署理以及源代码中的自界说程序包。它的可能的源代码由差其余攻击者共享,然则,网络基础设施中的重叠部门使得将所有流动群集到一个工具中成为可能。

installcdn-aws.com,boostfever.com,jumpernode.com和uptime66.com的WHOIS纪录显示,它们均由统一工具注册。

它们具有相同的流动子域,例如cdn,下载,更新和署理。其他子域具有类似的模式,其名堂设置为“

域的所有IP都剖析到相同的子网——195.181.160.0/20,某些服务器还由差其余域托管:

195.181.169.92: dl.installcdn-aws.com, u1.boostfever.com, t1.xofinity.com;

195.181.164.195: cdn.boostfever.com, cdn.netbounce.net, proxy.netbounce.net, connect.netbounce.net, proxy.jumpernode.com, connect.jumpernode.com;

通过查看被动DNS纪录,研究职员可以领会该攻击流动在已往几周的希望。下表显示了指向195.181.164.212的域的剖析历史,这再次注释所有域都由统一工具操作。

DNS剖析历史纪录为195.181.164.212

研究职员使用FortiGuard威胁情报数据天生了全球熏染热图:

按国家划分的受熏染受害者的热图

总结

纵然攻击者接纳了许多措施以使其看起来正当举行逃避检测,该流动也险些在启动后会被立刻检测到:

1. 使用真实的公司来伪装该流动;

2. 使用与公司使用的原始证书异常相似的有用证书;

3. 作为熏染链的一部门,使用了正当的更新服务Equinox。

熏染链阶段

本文翻译自:https://www.fortinet.com/blog/threat-research/netbounce-threat-actor-tries-bold-approach-to-evade-detection: Allbet Gaming声明:该文看法仅代表作者自己,与阳光在线无关。转载请注明:usdt在哪里可以交易(www.caibao.it):一个名为“Netbounce”的攻击组织正实验使用进入白名单的方式实验逃避平安检查
发布评论

分享到:

买usdt最便宜的地方(www.caibao.it):《国际产业》韩LG如火如荼研发6G 计画2029商转
你是第一个吃螃蟹的人
发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。