紧跟潮流,攻击者通过NFT分发木马BitRAT

已于 2022-04-19 12:17:54 修改
阅读量113 收藏
点赞数
文章标签: 网络安全 web安全 功能测试 经验分享
于 2022-04-18 11:46:57 首次发布
原文链接:https://www.freebuf.com/articles/network/322711.html
版权

数字货币并不是区块链技术的唯一应用,非同质化代币(NFT)在 2021 年也走入了大众视野。NFT 是一种数字代币,通过区块链技术验证数字内容和所有权的真实性,例如艺术品、音乐、收藏品和游戏中的物品等。

2021 年 3 月,数字艺术家 Beeple 创作的数字艺术品 Everydays – The First 5000 Days以创纪录的 6900 万美元被拍出。NFT 引起了巨大的轰动。当月底,时任 Twitter 首席执行官 Jack Dorsey 发布的第一条推文的 NFT 以 290 万美元的价格售出。Nyan Cat的创建者重新制作了 GIF 图片,并以 10 以太坊(约 60 万美元)的价格将该 NFT 出售。

犯罪分子也盯上了 NFT。最近,研究人员发现了一个看起来很奇怪的 Excel 文件,其中包含 NFT 相关信息,但该文档实际上还会在后台下载并执行 BitRAT 恶意软件。

奇怪的 Excel 文件

恶意 Excel 文件的来源不能确定,但有一些线索可供分析。该 XLSM 文件被命名为 NFT_Items.xlsm,该文件包含两个 Sheet,其中一个是希伯来语命名的。Sheet 中描述的是交易 NFT 的合法 Discord 房间,包括 NFT 的名称、潜在投资回报的预测以及销售数量。

攻击者滥用 Discord 部署恶意文件,攻击者很可能是向以色列的 NFT 爱好者发送了相关消息,诱使用户下载并打开恶意 XLSM 文件。

恶意文件

恶意 XLSM 文件中包含恶意宏代码,启用宏后 XLSM 文件会释放一个批处理文件。使用 PowerShell 脚本从 Discord 下载另一个恶意样本 NFTEXE.exe

宏代码

部分代码

PowerShell 脚本

NFTEXE.exe是一个 .NET 文件,尝试执行 ipconfig /renew命令,随后通过 Discord 拉取另一个恶意文件 NFTEXE.png

NFTEXE.png伪装成图像文件,所有的字符串都经过翻转。

反转字符串

样本发现自己在云环境中运行,就会断开链接不会下载 NFTEXE.png。

下一阶段的恶意文件是 Nnkngxzwxiuztittiqgz.dll,.NET 的 DLL 文件在 2022 年 1 月 2 日编译。

NFTEXE.exe 将自身复制到 C:\Users\[username]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Adobe\Cloud.exe,在启动维持持久化。

NFTEXE.exe 还将 MSBuild.exe 复制到 C:\Users\[username]\AppData\Local并运行。随后,NFTEXE.exe 使用 Nnkngxzwxiuztittiqgz.dll 将 Payload 注入正在运行的 MSBuild.exe 进程。

BitRAT

2020 年 8 月,BitRAT 被首次披露,BitRAT 的典型特征是使用 HVNC 为攻击者提供远程访问。BitRAT 借用了 TinyNuke 的 HVNC 代码,后者的源码在 2017 年泄露。BitRAT 在 HVNC 通信时会将 AVE_MARIA作为验证信息。

BitRAT 功能

BitRAT 使用 Slowloris 实现 DDoS 功能:

Slowloris DDOS

其他功能包括:

从失陷主机的浏览器与应用程序中窃取凭据

门罗币挖矿

键盘击键记录

文件上传下载

麦克风窃听

将窃取的数据存储在 base64 编码的 ADS 文件中。

写入文件

通过文件名可以推断,每天都会以日期创建一个新文件。

ADS 文件

BitRAT 使用的 C&C 服务器(205.185.118.52)是由防弹主机服务提供商 FranTech Solutions 提供的。

结论

NFT 是一种新兴的互联网现象,有些人将其视为投资和赚钱的机遇。攻击者也在通过 NFT 话题引诱受害者打开 XLSM 文件投递 BitRAT。

IOC

88ef347ad571f74cf1a450d5dad85a097bb29ab9b416357501cdc4c00388f796
342a5102bc7eedb62d5192f7142ccc7413dc825a3703e818cf32094638ebd17a
hxxps://cdn.discordapp.com/attachments/923977279179202600/927289948825079828/NFT_LIST.xlsm
hxxps://cdn.discordapp.com/attachments/927290851930013766/927291495604699167/NFT_LIST.xlsm
hxxps://cdn.discordapp.com/attachments/923858595353874472/928279600659234826/NFTEXE.EXE
205.185.118.52

参考来源

Fortinet

本文作者:Avenger

Askshhbs
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BitRAT 正以银行敏感数据为诱饵进行传播
顶峰
03-27 94
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
视频码率,帧率和分辨率的联系与区别
热门推荐
蓝蓝的天
03-01 14万+
视频码率,帧率和分辨率到底哪一个影响电影的清晰度 码率:影响体积,与体积成正比:码率越大,体积越大;码率越小,体积越小。 码率就是数据传输时单位时间传送的数据位数,一般我们用的单位是kbps即千位每秒。也就是取样率(并不等同与采样率,采样率的单位是Hz,表示每秒采样的次数),单位时间内取样率越大,精度就越高,处理出来的文件就越接近原始文件,但是文件体积与取样率是成正比的,所以几乎所有的编...
bit rate - 比特率
大自然的代码
11-29 2651
英文 :Bit Rate 中文 :比特率 介绍 :比特率是指每秒传送的比特(b - 比特位)数,单位为 bps(Bit Per Second),比特率越高,传送数据速度越快,也就是每秒种传送一个 0 或 1 的个数。通信和计算机行业内经常利用“类似国际单位制”的前缀来表示更大的衍生单位 1000 bit/s = 103 bit/s= 1 kbit/s (一千位每秒) 1000 kbit/s =
NFT存储使用NFTUp上传(NFT.Storage)
西京刀客
12-29 1246
NFT.Storage旨在让人们简单、轻松、弹性的存储NFT数据,对于初接触到NFT与区块链的人来说,只需要几行代码就能快捷完成操作。
prana:使用NFT分发数字内容
05-28
使用NFT分发数字内容我们人类拥有一种独特的方式,可以通过与实体互动来增加价值:曾经由马克·哈米尔(Mark Hamill)拥有的《星球大战》的特定DVD所获得的价格高于其MRP(最高零售价),您将感性的价值附加到父亲给...
pranah:使用NFT在以太坊上进行分散式电子书分发
03-21
使用NFT分发数字内容 我们人类只有通过与实体互动才能为实体增值的独特方法:曾经由马克·哈米尔(Mark Hamill)拥有的《星球大战》的特定DVD所获得的价格要高于其MRP(最高零售价),您将感性的价值附加到父亲给的...
NFT图像批量制作软件.zip
12-01
NFT(Non-Fungible Token,非同...总之,NFT图像批量制作软件是数字艺术创作者进入NFT世界的实用工具,通过批量生成和管理NFT,它们极大地提高了创作效率,降低了进入门槛,为数字内容的价值发现和流通开辟了新的途径。
NFT人物头像随机生成器Python源码
06-18
通过这个程序,用户可以生成一系列随机组合的人物头像,每个头像都有其独一无二的特征,从而满足NFT的非同质化特性。 该程序的核心功能包括以下几个方面: 1. **图层素材管理**:程序包含了多个不同的图层素材,如...
2022年NFT行业投研报告
03-24
NFT(Non-Fungible Token,非同质化代币)是近年来区块链技术的一个重要应用,它赋予数字资产独特性和可...投资者通过跟踪Nansen NFT指数,可以更有效地评估市场动态,制定投资策略,以适应这个快速变化的市场环境。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8340
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
网络安全科普】勒索病毒 防护指南
最新发布
a38417的博客
07-20 683
常规的杀毒软件查找病毒的原理一般是对当前计算机上的文件进行特征的检测,检测完成后和现有的病毒库中的特征数据进行匹配,如果可以匹配成功则找到病毒文件,因此现有的勒索病毒对我们常用的常规杀毒软件是一个很大的挑战。一旦勒索病毒感染了计算机,它会立即开始加密用户的文件,包括文档、图片、视频等,并在屏幕上显示要求用户支付赎金的消息。从操作系统来看被植入病毒的主要是Windows XP、Windows 7,原因是目前这些系统中有一部分微软官方已经不再支持更新、以及补丁的维护,一般会存在较多的无法及时修复的漏洞。
web安全之跨站脚本攻击xss
奔跑的小猪仔
07-17 962
xss 跨站脚本攻击。它指的是恶意攻击者web页面里插入恶意js代码,当用户浏览该页之时,嵌入其中web里面的js代码会被执行,从而达到恶意的特殊目的。
网络安全防御 -- 双机热备和带宽管理综合实验
rrl18215821889的博客
07-16 591
12,对现有网络进行改造升级,将当个防火墙组网改成双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW1。13,办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M。16,外网访问内网服务器,下行流量不超过40M,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。做负载分担模式,生产区和办公区的流量走FW1,游客区和DMZ区走FW3。配置g0/0/0ip和开启服务。办公区销售部带宽策略;
网络安全-网络安全及其防护措施8
LS_Ai的博客
07-17 1167
数据中心网络架构是指数据中心内部网络的设计和结构,其目的是提供高性能、高可用性和高扩展性的网络连接。合理的数据中心网络架构能够支持大规模数据处理和传输,满足数据中心的业务需求,提高整体运营效率。负载均衡是一种分配网络流量和计算任务的方法,旨在优化资源利用率、提高系统性能和增强服务可用性。通过将请求分配到多个服务器上,负载均衡避免了单点故障和性能瓶颈,确保系统稳定和高效运行。网络安全策略是指为保护网络和信息系统的安全而制定的一系列规则和措施。
2024年对网络安全专业的观点解析
goodxianping的专栏
07-17 523
网络安全专业的毕业生能够适应多个行业和岗位,包括但不限于政府部门、金融机构、大型互联网公司、电信运营商、科研机构的安全团队。学历较低、经验不足的大量初级从业人员与企业的需求不匹配,一方面找工作难,一方面企业招聘不到合适的安全人员,导致供需矛盾。在网络安全领域,学历并非衡量一个人能力的唯一标准,但普遍较低的学历水平确实反映了行业人才结构的某些问题。张雪峰对网络安全专业的看法是积极和乐观的。随着信息时代的到来,各类企业和组织对网络安全的需求越来越大,使得该专业的毕业生在市场上拥有很大的需求量。
网络安全----web安全防范
weixin_55357256的博客
07-16 665
以下代码用来防范流行的DDoS攻击,ARP欺骗,CC攻击,XXS攻击,对输入的恶意代码进行过滤,嵌入到web程序可以很好的防范网络攻击,但如果想要更好的防范网络攻击,还需要更加复杂的配置和更硬核的硬件。print(f"可能的 CC 攻击针对资源 {resource} 检测到")# 用于检测 CC 攻击的函数(简单示例,通过监测短时间内对同一资源的请求频率)# 用于检测 XSS 攻击的函数(简单示例,检查输入中是否存在可疑脚本标签)# 用于检测 DDoS 攻击的函数(简单示例,通过监测短时间内的连接数量)
网络安全-网络安全及其防护措施6
LS_Ai的博客
07-16 949
访问控制列表(ACL)是一种网络安全机制,用于控制网络设备上的数据包流量。通过ACL,可以定义允许或拒绝的流量,增强网络的安全性和管理效率。ACL通过在路由器或交换机上设置规则,确定哪些流量可以通过,哪些流量应该被阻止。入侵检测系统(IDS)定义:监控网络流量和系统活动,检测和记录潜在的安全威胁和攻击行为。IDS提供告警信息,但不主动阻止攻击。作用:检测并报警,但不干预攻击,主要用于识别潜在的安全问题和攻击模式。入侵防御系统(IPS)定义:在IDS的基础上,进一步采取措施阻止攻击行为,保护网络安全

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值