darkhotel组织的未曝光vbscript 0day漏洞分析

威胁情报:

一、

darkhotel 在2017年3月前所利用的vbscript 0day漏洞分析

http://blogs.360.cn/post/VBScript_vul_CH.html

二、

BlackTech的最新TSCookie木马配置不当

有关TSCookie的介绍，译文以及原文如下，已经很详细了

http://blog.jpcert.or.jp/2018/03/malware-tscooki-7aa0.html

https://www.anquanke.com/post/id/100374

本次报告中，同样由日本cert发布，此次攻击发生在2018年8月左右发生。

日本cert对木马更新情况进行了阐述

在之前的版本中，TSCookie在Cookie标头中包含加密内容来与C＆C服务器进行通信

在新版本中，其不再使用Cookie进行标记。相反，加密内容放在URL参数中，如下所示：

如果从服务器收到对此HTTP GET请求的确认，则将发送HTTP POST请求作为下一步。通信功能与之前的TSCookie相同。

对于加密，仍然使用RC4，但密钥的生成方式不同。

配置方面

TSCookie拥有自己的配置信息，新版不同在于解码方式，

以前，TSCookie在配置开始时有4字节RC4密钥，用于解码。在新版本中，大小扩展到0x80字节。此更新使TSCookie无法读取部分配置。下图显示了复制加密配置（0x8D0字节）和RC4密钥（0x80字节）的代码

代码复制大小为0x8D4（0x8D0 + 4字节）的数据，其忽略了更新的RC4密钥大小。要正确复制更新的RC4密钥和配置，需要将其设置为0x950（0x8D0 + 0x80字节）。发生此错误时，无法正确解码配置。下图描述了如何解码TSCookie配置。（左错右对）

0x89C字节（4字节）的数据指定重新连接到C＆C服务器之前的等待时间（秒）。攻击者最初将其设置为99（0x63）秒（如右图所示），然而，由于未正确读取，因此几天后它将不会重新连接（左图）。

hash：

a5c75f4d882336c670f48f15bf3b3cc3dfe73dba7df36510db0a7c1826d29161

c&c：

解析服务器ip大多为中国台湾，有一个是日本的

详情见链接，介绍只描述重要特征：

https://blogs.jpcert.or.jp/en/2018/11/tscookie2.html

安全资源：

一、大佬的渗透测试工具资源

https://github.com/ropnop/serverless_toolkit

simple_redirect

https://github.com/ropnop/serverless_toolkit/tree/master/simple_redirect

Request Dump

https://github.com/ropnop/serverless_toolkit/tree/master/req_dump

ssrf_slack

https://github.com/ropnop/serverless_toolkit/tree/master/ssrf_slack

xxe_server

https://github.com/ropnop/serverless_toolkit/tree/master/xxe_server

massdns

https://github.com/ropnop/serverless_toolkit/tree/master/massdns

webshell

https://github.com/ropnop/serverless_toolkit/tree/master/webshell