皇冠体育寻求亚洲战略合作伙伴,皇冠代理招募中,皇冠平台开放会员注册、充值、提现、电脑版下载、APP下载。

首页科技正文

电银付小盟主(dianyinzhifu.com):Paste.nrecom平台被用于多个恶意软件流动

admin2020-12-2524恶意软件

电银付小盟主(dianyinzhifu.com):Paste.nrecom平台被用于多个恶意软件流动 恶意软件 第1张

瞻博网络平安实验室(Juniper Threat Labs)最近新公布了几个恶意软件流动,这些流动依赖于类似于pastebin的服务来发动攻击。Pastebin是一个用户存储纯文本的web应用。用户可以通过互联网分享文本片断,一样平常都是源代码。Pastebin在2002年建立,在2010年2月,Pastebin.com被保罗·迪克森卖给荷兰互联网企业家Jeroen Vader。仅过几个星期后,Jeroen Vader推出网站2.0版本。在2011年头,它推出3.0版本。2011年10月,网站流动贴数突破1000万。Juniper Threat Labs发现域paste.nrecom.net被攻击者给行使了。攻击通常从网络钓鱼电子邮件最先,当诱使用户执行恶意软件时,它会从paste.nrecom.net下载恶意软件的后续阶段并将其加载到内存中,而无需写入磁盘。对恶意软件基础架构使用正当的Web服务并不是有创意的做法,由于研究人员已经看到FIN6(APT组织)使用pastebin托管攻击链的一部门,而Rocke则使用它举行下令和控制。只管使用正当的Web服务并不新颖,但这是研究人员第一次看到攻击者使用paste.nrecom.net。现在,研究人员发现的恶意软件包罗AgentTesla,LimeRAT,Ransomware和Redline Stealer。

paste.nrecom.net是什么?

电银付小盟主(dianyinzhifu.com):Paste.nrecom平台被用于多个恶意软件流动 恶意软件 第2张

Paste.nrecom自2014年5月起投入使用,若是你不熟悉pastebin,则可以在此服务中黏贴代码或文本数据,以与他人共享。Paste.nrecom也做同样的事情,它还提供了允许剧本编写的API。这对于攻击者是有利的,由于他们可以轻松地以编程方式插入和更新数据。这个服务是由Stikked提供的,它是一个开源的基于PHP的pastebin。

攻击者如何将Paste.nrecom用于恶意目的?

由于它是纯文本服务,以是人们会以为它无法在其中托管可执行文件(二进制数据)。然则,二进制数据可以通过简朴地编码来示意为文本文件。常见的编码方法是使用base64,这就是攻击者在这种攻击情境下提议攻击的基础。

电银付小盟主(dianyinzhifu.com):Paste.nrecom平台被用于多个恶意软件流动 恶意软件 第3张

以base64编码的恶意粘贴

为了增添另一层混淆,它们使用XOR密钥对二进制数据举行加密。例如,以下文件使用XOR密钥0x02加密。

电银付小盟主(dianyinzhifu.com):Paste.nrecom平台被用于多个恶意软件流动 恶意软件 第4张

经由base64解码后,该文件仍使用XOR算法加密。

电银付小盟主(dianyinzhifu.com):Paste.nrecom平台被用于多个恶意软件流动 恶意软件 第5张

完成所有需要的解码和解密后,你将看到可执行文件,如上所示。

从2020年9月21日最先,研究人员已经看到几个恶意软件家族行使这项服务并迅速发展。

电银付小盟主(dianyinzhifu.com):Paste.nrecom平台被用于多个恶意软件流动 恶意软件 第6张

恶意软件流动

攻击通常是以包罗附件(例如文档,档案或可执行文件)的网络钓鱼电子邮件最先的,当用户被诱骗安装恶意附件时(第一阶段),它将从paste.nrecom.net下载下一阶段。研究人员还看到恶意软件在统一服务中托管其设置数据。

Agent Tesla

AgentTesla原本是一款在2014年公布的简朴的键盘记录器,近年来其开发团队为其不停增添了许多新功效,并举行出售。AgentTesla现已成为一个商业化的特工软件,可通过控制端天生知足功效需求的木马程序。AgentTesla最常见的流传方式是钓鱼邮件,邮件附件中通常会携带恶意文档,通过宏或破绽行使下载运行恶意程序。Agent Tesla是一种特工软件,能够从Web浏览器,邮件客户端和FTP服务器窃取小我私家数据。它还可以网络屏幕截图,视频并捕捉剪贴板数据。该恶意软件的最新版本还能够从VPN客户端窃取小我私家数据。今年6月,就有研究人员截获了一款伪装成屏幕珍爱程序的Agent Tesla特工木马。稀奇是新冠疫情时代,研究人员发现了多起COVID-19相关垃圾邮件攻击流动正在流传AgentTesla远程接见木马的新变种。

现在Agent Tesla是使用Paste.nrecom服务最活跃的恶意软件,攻击者通常从带有恶意附件的网络钓鱼电子邮件最先。凭据研究人员发现的样本,这些流动针对与航运、物流和银行相关的多个行业。在某些攻击情境下,附件是压缩文件,例如.iso,.rar或.uue,如下所示:

电银付小盟主(dianyinzhifu.com):Paste.nrecom平台被用于多个恶意软件流动 恶意软件 第7张

附件Sha256:9c38ab9d806417e89e3c035740421977f92a15c12f9fa776ac9665a1879e5f67

电银付小盟主(dianyinzhifu.com):Paste.nrecom平台被用于多个恶意软件流动 恶意软件 第8张

9c38ab9d806417e89e3c035740421977f92a15c12f9fa776ac9665a1879e5f67攻击链

从攻击链中可以看到,有两个paste.nrecom请求,由于它会将Agent Tesla的有效载荷分为两个。第一个请求是文件的前半部门,第二个请求是文件的后半部门。此手艺使平安解决方案难以剖析有效载荷。

电银付小盟主(dianyinzhifu.com):Paste.nrecom平台被用于多个恶意软件流动 恶意软件 第9张

另一个示例网络钓鱼电子邮件具有Sha256附件:

199a98adf78de6725b49ec1202ce5713eb97b00ae66669a6d42f8e4805a0fab9

以下是一些电子邮件附件和一些电子邮件附件中的文件,研究人员发现这些电子邮件附件是使用paste.nrecom安装Agent Tesla的。

电银付小盟主(dianyinzhifu.com):Paste.nrecom平台被用于多个恶意软件流动 恶意软件 第10张

在某些攻击情境下,附件是下载Agent Tesla加载程序的Office文档。

电银付小盟主(dianyinzhifu.com):Paste.nrecom平台被用于多个恶意软件流动 恶意软件 第11张

电银付小盟主(dianyinzhifu.com):Paste.nrecom平台被用于多个恶意软件流动 恶意软件 第12张

c66e6c6018d3e51e8b39146c6021fb51f59750b93778a063f7d591f24068c880攻击链

W3Cryptolocker勒索软件

W3Cryptolocker是一个相对较新的勒索软件,该勒索软件于2020年7月被首次发现。凭据在其代码中找到的字符串,研究人员将该恶意软件称为W3Cryptolocker。

电银付小盟主(dianyinzhifu.com):Paste.nrecom平台被用于多个恶意软件流动 恶意软件 第13张

在此勒索软件的二进制代码中找到的字符串

该加载程序托管在一个可能被黑客入侵的网站italake.com上。

电银付小盟主(dianyinzhifu.com):Paste.nrecom平台被用于多个恶意软件流动 恶意软件 第14张

电银付小盟主(dianyinzhifu.com):Paste.nrecom平台被用于多个恶意软件流动 恶意软件 第15张

Ede98ae4e8afea093eae316388825527658807489e5559bff6dbf5bc5b554a2c攻击链

它将加密所有驱动器中的所有文件,但扩展名为“ .xls”的文件和具有以下字符串的文件夹除外:

· Windows

· ProgramData

· $Recycle.bin

· System Volume Information

它为加密文件添加了扩展名.xls,对每个文件夹举行加密后,它将在每个文件夹上建立一个“Read_Me.txt”文件,并显示以下新闻

,

电银付

电银付(dianyinzhifu.com)是官方网上推广平台。在线自动销售电银付激活码、电银付POS机。提供电银付安装教程、电银付使用教程、电银付APP使用教程、电银付APP安装教程、电银付APP下载等技术支持。面对全国推广电银付加盟、电银付大盟主、电银付小盟主业务。

,

电银付小盟主(dianyinzhifu.com):Paste.nrecom平台被用于多个恶意软件流动 恶意软件 第16张

接见https://yip[.]su/2QstD5会将你重定向到一个Freshdesk支持的网站bit7.freshdesk.com。

电银付小盟主(dianyinzhifu.com):Paste.nrecom平台被用于多个恶意软件流动 恶意软件 第17张

其他W3Cryptolocker样本

c97852b425e41d384227124d93baf6c2d3e30b52295a828b1eac41dc0df94d29
9a0af98d0b8f7eacc3fdd582bbc0d4199825e01eeb20c2a6f98023c33ece74f6
01eea2a4628c6b27a5249a08152655246871acafa657e391b73444c05097976e
9a08e87e8063b13546e464f73e87b2ca5bde9410fec4e614313e2b8a497592fa
8dfe87850bd17b4eb0169b85b75b5f104ae6b84deeb2c81fe6ae5e19685f6c66
53124033d521158771eac79ad6f489c6fdd5b25ab96712035c2ca65b3a3c5eed
aac2024789ffd2bfce97d6a509136ecf7c43b18c2a83280b596e62d988cedb10
fafabdffa67883587ba1a3c29f6345a378254f720efe8c2f318a4d5acdbce373

Redline Stealer

Redline Stealer是一种恶意软件,于2020年3月左右浮出水面,它的攻击目的是美国的医疗保健和制造业。该恶意软件被发现在论坛上投放广告,并提供多种订价选项,起价为100美元/月。它具有以下功效:

浏览器数据窃取器:

登录名和密码;

Cookie;

自动填写字段;

信用卡;

远程义务功效:

执行下令;

下载文件;

下载文件并执行;

RunPE(用于无文件攻击的历程注入);

打开链接;

FTP和IM客户端窃取程序;

文件抓取器;

网络有关受害者系统的信息;

我们发现的样本是一个被压缩到RAR文件中的比特币挖矿程序,该压缩文件包罗一个可执行文件——MinerBitcoin.exe,该文件可从paste.nrecom.net下载Redline Stealer有效载荷。

电银付小盟主(dianyinzhifu.com):Paste.nrecom平台被用于多个恶意软件流动 恶意软件 第18张

Redline Stealer攻击链:Sha256: a719affc96b41b63f78d03dc3bc6b7340287d25d876e58fd1ab307169a1751dc

电银付小盟主(dianyinzhifu.com):Paste.nrecom平台被用于多个恶意软件流动 恶意软件 第19张

Redline Stealer恶意功效

LimeRAT

LimeRAT是用.NET编码的远程管理木马,并且是开源的,它是APT-C-36小组用来针对哥伦比亚政府机构的恶意软件。其包罗众多功效:

勒索软件;

远程桌面;

加密挖矿;

加密钱币;

DDOS;

键盘记录程序;

密码窃取程序;

电银付小盟主(dianyinzhifu.com):Paste.nrecom平台被用于多个恶意软件流动 恶意软件 第20张

20ad344d20337f8a782135e59bc1f6e1a7999bcddc50fc1dc3b8b6645abcb91e攻击链

研究人员发现的另一个示例是aae2e0d0792e22164b3c81d0051c5f94a293bae69e7aac5cc4ad035860dbf802。在举行剖析时,该样品仍然没有检测到VT,它从https://paste[.]nrecom[.]net/view/raw/93a7cd20下载LimeRAT。

电银付小盟主(dianyinzhifu.com):Paste.nrecom平台被用于多个恶意软件流动 恶意软件 第21张

aae2e0d0792e22164b3c81d0051c5f94a293bae69e7aac5cc4ad035860dbf802仍然没有检测到VT

总结

对恶意软件基础结构使用诸如pastebin或paste.nrecom之类的正当Web服务可为网络攻击者带来诸多攻击方面的优势,由于这些服务由于其正当用途而无法容易被删除。研究人员建议平安操作将paste.nrecom添加到可能出于恶意目的而被滥用的Web服务中。建议监视此类服务,以检查可疑内容,稀奇是以base64编码的二进制数据。 Juniper在SRX NGFW上的Encrypted Traffic Insights功效确实使用机械学习检测到paste.nrecom.net的恶意TLS毗邻为恶意,如以下W3Cryptolocker加载程序的截图所示。

电银付小盟主(dianyinzhifu.com):Paste.nrecom平台被用于多个恶意软件流动 恶意软件 第22张

AgentTesla Loader(Project 68234.iso)的检测

电银付小盟主(dianyinzhifu.com):Paste.nrecom平台被用于多个恶意软件流动 恶意软件 第23张

AgentTesla Loader(VESSL’ITENERARY.xlsm)的检测

电银付小盟主(dianyinzhifu.com):Paste.nrecom平台被用于多个恶意软件流动 恶意软件 第24张

W3Cryptolocker Loader(0022.exe)的检测

电银付小盟主(dianyinzhifu.com):Paste.nrecom平台被用于多个恶意软件流动 恶意软件 第25张

使用Juniper Encrypted Traffic Insights检测到paste.nrecom的恶意毗邻

本文翻译自:https://blogs.juniper.net/en-us/threat-research/new-pastebin-like-service-used-in-multiple-malware-campaigns:

网友评论