BYOB,一把新的双刃剑

BYOB,一把新的双刃剑

介绍

在当今的网络安全领域,进行高质量的攻击所需的专业知识与对实际攻击的理解之间的差距越来越小。因为“即插即用”黑客工具包的普及,曾经只有有资助的APT团队才能利用的技术现在可以被初出茅庐的犯罪分子(即“脚本小子”)轻松利用。

当然,网络安全社区也在不断开发工具和技术,提高了成为攻击者和维护者的门槛。但是这些工具不仅可以用于测试、增强防御能力,它们也可用于攻击性目的。

一个很好的例子是最近(2018年7月)发布的BYOB(Build Your Own Botnet)框架,该框架包含了构建僵尸网络所需的所有构建块。该框架是为了改进网络安全防御而开发的。由BYOB创建的僵尸程序具有先进的APT工具级别的复杂功能。虽然提高了防御能力,但也可以被任何具有恶意意图的“脚本小子”利用来进行攻击。

Perception Point平台最近截获了一个利用BYOB框架的攻击,这是第一次将BYOB框架用于在野攻击的活动。随着越来越多的“脚本小子”发现、利用BYOB工具,不出意外网络安全社区未来会看到更多类似攻击。

BYOB(搭建你自己的僵尸网络)简介

BYOB是一个开源项目,该项目给研究人员和开发者提供了一个能够搭建和操作基础僵尸网络的框架。大家都知道,僵尸网络每年都会感染数百万台联网设备,为了研究现代僵尸网络的威胁能力和应对方案,大家可以根据各自对复杂恶意软件的理解,基于该框架来研究现代僵尸网络。在该框架的帮助下,开发人员可以轻松实现自己的代码并添加新的工具和功能,整个过程无需自己从零编写RAT或C2服务器。

邮件分析

攻击者向用户发送了带有HTML附件的电子邮件。在HTML附件中,攻击者利用两种技术:

指向仿冒Office365登录页面的欺诈性网站的链接;

诱使用户下载恶意软件的PDF。

BYOB,一把新的双刃剑

HTML附件

BYOB,一把新的双刃剑

虚假Office365登录页面

HTML附件中包含脚本代码,用户同意后,该代码会下载并运行看似PDF文档的可执行文件。

BYOB,一把新的双刃剑

可执行文件分析

可执行文件是使用PyInstaller创建的,内容提取是由PyInstaller Extractor完成的。

BYOB,一把新的双刃剑

PyInstaller删除了此处记录的pyc header,然后用pycdc执行反编译。

BYOB,一把新的双刃剑

下载程序从一长串已知的AV供应商处阻止任何AV软件运行、下载可执行文件和(上面呈现的HTML文件的)图像并执行它们:

BYOB,一把新的双刃剑

第二个可执行文件与第一个可执行文件一样,也是由PyInstaller创建的。

BYOB,一把新的双刃剑

上述混淆代码的计算结果为:

BYOB,一把新的双刃剑

以上文件是https://github.com/malwaredllc/byob/blob/master/byob/core/stagers.py的精确副本,最终加载https://github.com/malwaredllc/byob/blob/master/ byob / core / loader.py。

如BYOB github中所述:

Loaders(byob.core.loaders):从服务器远程导入任何工具包/模块/脚本;

Payloads(byob.core.payloads):反向TCP shell,旨在远程导入依赖项、工具包和模块。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/tech/134269.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code