darkhotel组织的未曝光vbscript 0day漏洞分析

威胁情报:

一、

darkhotel 在2017年3月前所利用的vbscript 0day漏洞分析

http://blogs.360.cn/post/VBScript_vul_CH.html

二、

BlackTech的最新TSCookie木马配置不当

有关TSCookie的介绍,译文以及原文如下,已经很详细了

http://blog.jpcert.or.jp/2018/03/malware-tscooki-7aa0.html

https://www.anquanke.com/post/id/100374

本次报告中,同样由日本cert发布,此次攻击发生在2018年8月左右发生。

日本cert对木马更新情况进行了阐述

在之前的版本中,TSCookie在Cookie标头中包含加密内容来与C&C服务器进行通信

在新版本中,其不再使用Cookie进行标记。相反,加密内容放在URL参数中,如下所示:

如果从服务器收到对此HTTP GET请求的确认,则将发送HTTP POST请求作为下一步。通信功能与之前的TSCookie相同。

对于加密,仍然使用RC4,但密钥的生成方式不同。

配置方面

TSCookie拥有自己的配置信息,新版不同在于解码方式,

以前,TSCookie在配置开始时有4字节RC4密钥,用于解码。在新版本中,大小扩展到0x80字节。此更新使TSCookie无法读取部分配置。下图显示了复制加密配置(0x8D0字节)和RC4密钥(0x80字节)的代码

代码复制大小为0x8D4(0x8D0 + 4字节)的数据,其忽略了更新的RC4密钥大小。要正确复制更新的RC4密钥和配置,需要将其设置为0x950(0x8D0 + 0x80字节)。发生此错误时,无法正确解码配置。下图描述了如何解码TSCookie配置。(左错右对)

0x89C字节(4字节)的数据指定重新连接到C&C服务器之前的等待时间(秒)。攻击者最初将其设置为99(0x63)秒(如右图所示),然而,由于未正确读取,因此几天后它将不会重新连接(左图)。

hash:

a5c75f4d882336c670f48f15bf3b3cc3dfe73dba7df36510db0a7c1826d29161

c&c:

解析服务器ip大多为中国台湾,有一个是日本的

详情见链接,介绍只描述重要特征:

https://blogs.jpcert.or.jp/en/2018/11/tscookie2.html

安全资源

一、大佬的渗透测试工具资源

https://github.com/ropnop/serverless_toolkit

simple_redirect

https://github.com/ropnop/serverless_toolkit/tree/master/simple_redirect

Request Dump

https://github.com/ropnop/serverless_toolkit/tree/master/req_dump

ssrf_slack

https://github.com/ropnop/serverless_toolkit/tree/master/ssrf_slack

xxe_server

https://github.com/ropnop/serverless_toolkit/tree/master/xxe_server

massdns

https://github.com/ropnop/serverless_toolkit/tree/master/massdns

webshell

https://github.com/ropnop/serverless_toolkit/tree/master/webshell

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20181112G22CR100?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券