关键词:德国|电子邮件|告警|服务提供商|感染|发现

PowerShell编码散播NetWireRAT阻拦

  • 时间:
  • 浏览:59

文章内容文件目录

造成告警 感染媒体 递送 NetWire RAT 阻拦外扩散 IOC

前不久,科学研究工作人员发现一个对于德国客户的垃圾短信进攻行動,该行動根据 Excel 文档中的 PowerShell 编码散播 NetWire RAT。电子邮件假冒了德国的快递和包囊服务提供商 DHL。

造成告警

2020 年 4 月 13 日下午,我们在系统软件中发现对于 PowerShell 的 Downloader 的检验告警出现异常提升。大家开展了有关的威协调研,而且发现了与 BEAST 有关的內容,这种內容说明恶意程序是根据电子邮件散播的 Excel 文本文档。虽然大家自身并沒有接到电子邮件的 Excel 配件,可是的确看到了 BEAST 为 MII 的顾客汇报的感染链。

感染媒体

电子邮件宣称是来源于德国的快递公司、包囊服务提供商 DHL。电子邮件中表明找不着全新订单信息的收件地址,请收货人将基本信息加上到配件中。别的德语文章中出示了此类电子邮件的截屏,截屏中能够看得出 Excel 弹出来了宏警示,剖析得知是类似的的威协。

因为肺炎疫情危害,线下推广的店面许多 早已闭店了,现阶段有很多人线上购买产品必须快递配送,这可能是网络攻击挑选应用这类方法启动进攻的缘故。

该文本文档名叫 Dokumentation.xls,根据 Google 开展查找后在 Virustotal 上找到相对性应的样版文档。开启后能够发现其显示信息的照片规定客户激话宏代码以显示信息內容。

启用宏后,Excel 文本文档可能开启一个 PowerShell 指令,该指令将从 paste.ee 免费下载2个文档,而且开展标识符更换来编解码內容:

以下所显示,这种文本文档中的标识符 @@ 被更换为 44,! 被更换为 78。

标识符更换进行并将整数金额转化成字节数后,解决第二层搞混。该层仅在全部字节数值以前加上 N,对其开展编解码可获得 Hackitup 的 .NET DLL 文档。

递送 NetWire RAT

从 paste.ee 免费下载的另一个文档是历经搞混但未加壳的 NetWire 样版,NetWire 是一个不断发展的恶意程序。前文提及的 .NET DLL 文档 Hackitup 会对特定的文档实行过程引入,PowerShell 启用该 DLL 将 NetWire 引入 MSBuild.exe 中。

那样的 PowerShell 应用方法是典型性的 Hagga(别名 Aggah)的应用方法,详细资料能够查询 Azorult 的文章内容。

阻拦外扩散

在公布了有关威协的 Twitter 以后,安全性科学研究工作人员 @JayTHL 汇报了 paste.ee 网址。十多分钟内回应处理就退出了该网址,合理地阻拦了荷载的进一步外扩散散播。

IOC

67fd76d01ab06d4e9890b8a18625436fa92a6d0779a3fe111ca13fcd1fe68cb2

bb37f30311a0ade4a807a5de7f078efd6b3af815aa4305a4bcc17f6d4b5ee9e6

cdd2e26792bd7ee81a6297d13dd514836778620c9bd96e79ae6ee26239c546b1

e8edf64d02ed7f0456b8f1601026ce37f9120d3a1d1e9ba7fdc8d9bc9af10d10

f3764f7cd5b1f27e1d921b4f7eb229482652a317a27193824207da051943a2c8

f92db2c4401d5da1e1f68a4ec1fb159c34fc7f020e4fbacca3e4682db0a5bbe2

paste.ee/r/e49u0

paste.ee/r/dlOMz

paste.ee/r/gTYWf

paste.ee/r/rHoL5

*参照来源于:GData,FB 网编 Avenger 编译程序,转截请标明来源于 FreeBuf.COM

猜你喜欢