威胁情报:
一、
darkhotel 在2017年3月前所利用的vbscript 0day漏洞分析
http://blogs.360.cn/post/VBScript_vul_CH.html
二、
BlackTech的最新TSCookie木马配置不当
有关TSCookie的介绍,译文以及原文如下,已经很详细了
http://blog.jpcert.or.jp/2018/03/malware-tscooki-7aa0.html
https://www.anquanke.com/post/id/100374
本次报告中,同样由日本cert发布,此次攻击发生在2018年8月左右发生。
日本cert对木马更新情况进行了阐述
在之前的版本中,TSCookie在Cookie标头中包含加密内容来与C&C服务器进行通信
在新版本中,其不再使用Cookie进行标记。相反,加密内容放在URL参数中,如下所示:
如果从服务器收到对此HTTP GET请求的确认,则将发送HTTP POST请求作为下一步。通信功能与之前的TSCookie相同。
对于加密,仍然使用RC4,但密钥的生成方式不同。
配置方面
TSCookie拥有自己的配置信息,新版不同在于解码方式,
以前,TSCookie在配置开始时有4字节RC4密钥,用于解码。在新版本中,大小扩展到0x80字节。此更新使TSCookie无法读取部分配置。下图显示了复制加密配置(0x8D0字节)和RC4密钥(0x80字节)的代码
代码复制大小为0x8D4(0x8D0 + 4字节)的数据,其忽略了更新的RC4密钥大小。要正确复制更新的RC4密钥和配置,需要将其设置为0x950(0x8D0 + 0x80字节)。发生此错误时,无法正确解码配置。下图描述了如何解码TSCookie配置。(左错右对)
0x89C字节(4字节)的数据指定重新连接到C&C服务器之前的等待时间(秒)。攻击者最初将其设置为99(0x63)秒(如右图所示),然而,由于未正确读取,因此几天后它将不会重新连接(左图)。
hash:
a5c75f4d882336c670f48f15bf3b3cc3dfe73dba7df36510db0a7c1826d29161
c&c:
解析服务器ip大多为中国台湾,有一个是日本的
详情见链接,介绍只描述重要特征:
https://blogs.jpcert.or.jp/en/2018/11/tscookie2.html
安全资源:
一、大佬的渗透测试工具资源
https://github.com/ropnop/serverless_toolkit
simple_redirect
https://github.com/ropnop/serverless_toolkit/tree/master/simple_redirect
Request Dump
https://github.com/ropnop/serverless_toolkit/tree/master/req_dump
ssrf_slack
https://github.com/ropnop/serverless_toolkit/tree/master/ssrf_slack
xxe_server
https://github.com/ropnop/serverless_toolkit/tree/master/xxe_server
massdns
https://github.com/ropnop/serverless_toolkit/tree/master/massdns
webshell
https://github.com/ropnop/serverless_toolkit/tree/master/webshell
领取专属 10元无门槛券
私享最新 技术干货