专栏首页it同路人揭开谍中谍的好戏,关键词:HW、RDP漏扫、红蓝对抗

揭开谍中谍的好戏,关键词:HW、RDP漏扫、红蓝对抗

一、概述

腾讯御见威胁情报中心监测到网上一款编译好的RDP漏洞(亦有安全专家命名为RDS漏洞)检测工具在流行,这款工具并非来自权威安全厂商或知名研究小组。为了让戏更足一些,有人还给此款工具配上漂亮的解说blog,如下图所示。在Blog的末尾附上这款RDP漏洞检测工具的网盘下载地址,不过很快blog和网盘链接都已失效。腾讯安全专家对该工具进行技术分析,结果发现这是一出谍中谍的好戏:有人假冒安全研究者煞有介事的编造了一个故事,利用你对安全工具的好奇心,钓你上钩。

Blog结尾的工具介绍

这个所谓的RDP漏洞检测工具到底是个什么鬼玩意儿,且看下面的技术分析。

二、技术分析

Rdpscan.exe详细分析

工具包解压后如下所示:

将下载回来的rdpscan工具,用ida打开,并与github上的开源代码进行比较后发现,在main函数中多了一段病毒代码。该段代码的作用是读取“ssleay32.dll”中shellcode,并利用CreateThread将此shellcode执行起来。

ssleay32.dll详细分析

该dll中内容为未加密的shellcode,入口点如下所示。

主要作用是用VirtuaAlloc、 LoadLibray、GetProcAddress等函数准备好环境后,再执行另一段shellcode。

另一段shellcode入口点如下所示

Shellcode中调用api的方式全部是下面这种方式

会利用CreateThread创建多个检测线程,用于检测调试器等。会创建线程检查多个系统dll中api是否存在int3断点,如果存在会退出进程。

会创建线程利用CreateFile函数检查"\\.\Regmon"、"\\.\FileMon"、"\\.\ProcmonDebugLogger"、"\\.\NTICE" 等工具是否存在,检查到后,会利用TerminateProcess结束进程。

会创建线程检测窗口的classname,窗口类名主要有"ACPUASM"、"AOPOASM" 、"AOPUASM"、"ACPOASM"、"WinDbgFrameClass"

会创建线程利用IsDebuggerPresent 和 GetTickCount函数来检测调试器

会创建线程利用OpenMutex函数来检查wireshark是否存在,用到的mutex名称有“Wireshark-is-running-{9CA78EEA-EA4D-4490-9240-FC01FCEF464B}”等

在dllmain函数结尾会出现“Poison Ivy C++”的字符串,然后执行其它多个shellcode模块

木马的核心功能都在如下6个shellcode模块中,并且相互调用,几乎每个模块都会创建多个线程执行上面那些反调检测逻辑。

解密后的木马配置项如下所示,木马c2假冒知名安全厂商赛门铁克的域名(security.symanteclabs.com,目前已无法访问)。Shellcode还会根据配置项创建svchost.exe进程,并将代码注入其中,然后svchost.exe会访问c2,执行配置的相关功能,通过以上代码及木马配置等信息与参考资料中的对比,可以确信是Poison Ivy Rat(远程控制木马)。这类木马可以对目标计算机的文件、注册表、进程、键盘记录、甚至摄像头等进行远程控制。

三、安全建议:

  1. 1. RDP漏洞固然可怕,请使用官方认证的RDP漏洞检测工具,推荐使用鹅厂安全团队的RDS远程批量漏洞检测工具,下载地址:http://dlied6.qq.com/invc/xfspeed/qqpcmgr/versetup/portal/RDSRemoteScanTools1.1.zip

据腾讯御见威胁情报中心监测分析,自上个月Windows远程桌面服务漏洞公开以来,已有部分用户按安全厂商的建议完成漏洞修复,尚未修复漏洞的电脑仍然数量众多,建议尽快修复,避免成为黑灰产控制的肉鸡。相关链接:https://guanjia.qq.com/avast/383/index.html

  1. 警惕使用来历不明的工具软件,尤其是与安全相关的,小心跌入精心策划的陷阱;
  2. 企业客户可以使用腾讯御点终端安全管理系统,来保护系统免遭病毒木马入侵;
  3. 疑似中招的可检测有无异常程序连接下文c2服务器,以及创建名为Test或TestSvc的服务,或使用腾讯御点清除病毒。

IOCs:

Md5:

d0840aeb2642d718f325a07a4b7f6751(rdpscan.exe)

77e929095d57c044f18ab259023c9ea5(RDP检测工具&HW第一天攻击方IP库.zip)

27b0374083f46693df15c0e3fffad070(ssleay32.dll)

C2:

security.symanteclabs.com

security.symanteclabs.com

www.symanteclabs.com/hw.html

参考资料:

https://www.fortinet.com/blog/threat-research/deep-analysis-of-new-poison-ivy-variant.html

https://dhsagarinfo.blogspot.com/free-download-poison-ivy-rat-232-and

作者:腾讯电脑管家 (文章转载请注明来自:IT同路人论坛)

本文分享自微信公众号 - it同路人(ittongluren),作者:大大编辑

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-06-16

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 我如何利用微信反弹shell

    最近刚好在忙一个程序的dll劫持测试,现在就随便拿一个程序来练练手。增加一下熟练度,此操作可用于维持后门!

    ittongluren
  • 收藏:U盘数据丢失?先别着急覆写文件

    前两天有位朋友从吹乎上找到我向我寻求帮助,向我简短描述他所遇到的问题,他的U盘数据丢失了,两个U盘都是数据丢失,我简略了解了一下情况,两个U盘都连接过同一台电脑...

    ittongluren
  • 在线cms识别|旁站|c段|信息泄露|工控|系统|物联网安全|cms漏洞扫描|端口扫描|待完善..

    微语:这是一个朋友弄的东西,征求对方同意的情况下排版了下,发了出来,有些许BUG,大牛可以的话,来完善完善。 这是一款线上工具箱,收集整理了一些渗透测试过程...

    ittongluren
  • trim-galore并行处理时的几个问题

    config是需要进行处理的文件列表 trim_galore命令这里用的也比较简单,总结下处理时遇到的问题

    Y大宽
  • 在VMware Workstation中安装完CentOS-7.6-Minimal版后的常用配置

    首先确定可以设置的IP地址,在vmware的虚拟网络配置中查看自己的虚拟网络网段:

    CoderJed
  • 如何删除 Windows 10 系统生成的 WindowsApps 文件夹

    2018-02-27 16:03

    walterlv
  • MySQL 常用命令 原

    (adsbygoogle = window.adsbygoogle || []).push({});

    tianyawhl
  • 渗透安全测试的靶场

    新手练习测试通常需要一个测试的漏洞环境,而自己去找指定漏洞的网站显然对于新手来说有点不实际,所以今天我就来给大家提供靶场,也就是各种漏洞测试的网站环境,自行搭建

    网e渗透安全部
  • APP漏洞自动化扫描专业评测报告(上篇)

    *本文原创作者:Sunnieli,本文属FreeBuf原创奖励计划,未经许可禁止转载 一、前言 随着Android操作系统的快速发展,运行于Android之上的...

    FB客服
  • Genesis框架从入门到精通(7): 框架的过滤器

    Genesis Explained Framework Filters

    丘壑

扫码关注云+社区

领取腾讯云代金券