Kimsuky 正在使用 xRAT 进行窃密

已于 2024-01-18 23:55:38 修改
阅读量222 收藏
点赞数
文章标签: 网络 安全 服务器
于 2023-08-12 14:16:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dzqxwzoe/article/details/132248369
版权

近日,ASEC 分析人员发现 Kimsuky 组织正在使用 xRAT(基于 Quasar RAT 定制的开源 RAT)恶意软件。

根据 AhnLab 收集到的日志,在 1 月 24 日攻击者在失陷主机上部署了 Gold Dragon 的变种。判断是 Gold Dragon 的依据如下:

样本注入方式与 Gold Dragon 的方法相同,都是在 iexplore.exe、svchost.exe 等进程上执行 process
hollowing

通过 49B46336-BA4D-4905-9824-D282F05F6576 终止 AhnLab 产品

终止 Daum Cleaner (daumcleaner.exe) 进程

攻击者通过专属安装程序 installer_sk5621.com.co.exe安装 Gold Dragon,程序通过 C&C 服务器下载 Gzip
压缩的 Gold Dragon 样本并在 %temp%路径中将其解压为 in[random 4 numbers].tmp,再通过
rundll32.exe 执行。

本次发现的 Gold Dragon 有四个导出函数:

Perform

Process

Start

Work

安装程序通过 Start参数执行 Gold Dragon。在执行 Start导出函数后,Gold Dragon 会复制自身到指定位置并设置 DLL
文件持久化,注册表项中使用了 Perform参数。

image.png-54.4kB注册表

发现的变种文件使用系统命令获取相关信息,这才过往的样本中并未发现。这意味着攻击者可能使用了模块化加载,攻击者可以通过 C&C
服务器下载其他模块获得更多功能。

cmd.exe /c ipconfig/all >>”%s” & arp -a >>”%s”
cmd.exe /c systeminfo >>”%s”
cmd.exe /c tasklist >>”%s”

攻击者通过安装 xRAT(cp1093.exe)来为远程控制提供便利。样本执行后会复制正常的 PowerShell
进程(powershell_ise.exe)到 C:\ProgramData\路径并通过 process hollowing 执行。

image.png-118.1kBxRAT

攻击者为了清除攻击痕迹,还开发了额外的程序(UnInstall_kr5829.co.in.exe)随着 xRAT 一起下发。

image.png-157.9kB清除痕迹代码

IOC

40b428899db353bb0ea244d95b5b82d9
4ea6cee3ecd9bbd2faf3af73059736df
070f0390aad17883cc8fad2dc8bc81ba
b841d27fb7fee74142be38cee917eda5

参考来源

ASEC

参考来源

ASEC

网络安全工程师(白帽子)企业级学习路线

第一阶段:安全基础(入门)

img

第二阶段:Web渗透(初级网安工程师)

img

第三阶段:进阶部分(中级网络安全工程师)

img

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

学习资源分享

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-OZxjbdLF-1691820984204)(C:\Users\Administrator\Desktop\网络安全资料图\微信截图_20230201105953.png)]

程序员小强_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
xray——详细使用说明(二)
记录并分享学习安全的知识点..
01-14 1908
前言:上一篇文章已经基本介绍了xray支持的漏洞检测类型和框架结构,下面主要介绍xray使用具体的命令参数。详细可参考上一篇链接: xray——详细使用说明(一)_xiaofengdada的博客-CSDN博客 一、服务扫描 检测单个目标 ./xray servicescan --target url 检测多个目标 ./xray servicescan --target 文件路径 将结果输入到html/json报告中 ./xray servicescan --target url --.
xrat.es:基本汇率服务
05-22
它提供了一个基本的汇率服务,允许用户在不同的货币之间进行转换,以了解不同货币的价值。"create-react-app"是Facebook开发的一个工具,用于快速初始化一个React应用,它包含了构建现代Web应用所需的基础配置,如...
xRAT:复制xRAT存储库
05-19
xRAT xRAT是远程桌面的开放源代码,并且可以使用套接字在客户端中执行命令来控制命令。
S-xrat源码
12-13
S-xrat1.0源码,特征码少,免杀容易!
内部开源S-xrat1.0
02-12
源代码内部开源S-xrat1.0仅用于远程,请勿用于不良用途,否则后果自负,,,
(网上最全版本)内部开源S-xrat1.0密码521.rar
03-01
Rat.dsw VC ,木马,源代码 (网上最全版本)内部开源S-xrat1.0密码521.rar
xrat CC特征
djph26741的博客
09-29 419
["6", 11818669.0, 8326.0, 599.75, 19705.992496873696, 13.882451021258857, 0.07203338938265674, 40.0, 40.0, 40.0, 40.0, 0.0, 1, 0, 0, 8326.0, 0, 0.0, 1460.0, 1379.4894306990152, 1460.0, 213.6623...
xray下载使用
badkis的博客
08-02 4091
xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,主要特性有: 检测速度快。发包速度快; 漏洞检测算法高效。 支持范围广。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。 代码质量高。编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。 高级可定制。通过配置文件暴露了引擎的各种参数,通过修改配置文件可以极大的客制化功能。 安全无威胁。xray 定位为一款安全辅助评估工具,而不
Collections.unmodifiableList方法的使用与场景
逸卿的专栏
09-19 2285
Collections.unmodifiableList方法的使用与场景 [url=http://auto.315che.com/mini/qa24196114-r1.htm?bk]础挽[/url] [url=http://auto.315che.com/zhisheng/qa24215144.htm?kt]砂骨[/url] http://auto.315che.com/crv/qa242...
红蓝攻防演练怎样构建实战化网络安全防御体系
ITSM/ITIL/网络安全/IT运维
04-25 1348
网络安全的本质在于对抗,对抗的本质在于攻防两端能力的较 量。《网络安全 法》就网络安全应急演练工作明确指出,关键信息基础设施的运营者 应当“制定网络安全事件应急预案,并定期进行演练”,国家网信部 门应当统筹协调有关部门“定期组织关键信息基础设施的运营者进行 网络安全应急演练,提高应对网络安全事件的水平和协同配合能 力”,“负责关键信息基础设施安全保护工作的部门应当制定本行 业、本领域的网络安全事件应急预案,并定期组织演练”,要求关键 信息基础设施的运营者、国家网信部门等定期组织开展应急演练工 作。
KimSuky病毒分析
YANG12345_6的博客
06-02 252
KimSuky病毒分析 文章目录KimSuky病毒分析WinMain()sub_4011e0()sub_403600()sub_401580()sub_401770()sub_401950()sub_402790()CreateThread()StartAddress()sub_402F30()sub_401AA0()总结 文件名称:KimSuky.exe.sample SHA256:3110f00c1c48bbba24931042657a21c55e9a07d2ef315c2eae0a4222346231
2019 年 国内移动安全总结
glb111的博客
01-23 104
2019 年世界依旧不太平,在表面平静的背后是暗流涌动。大规模军事冲突 不会发生的当下,因利益,政治,宗教等问题依然会有局部战争。其中尤其以中 东问题最为突出,更多关于 APT组织的相关信息,请关注奇安信威胁情报中心, 红雨滴团队 GitHub 的 APT_Digital_Weapon资料库: https://github.com/RedDrip7/APT_Digital_Weapon下面我们盘点 2019 年移动端 APT攻击事件。KONNIAPT组织KONNI团队可能来源东亚地区。
XART------generate art ascii texts.
热门推荐
jxfang的专栏
01-21 22万+
xart is a pure Python library that provides an easy way to generate art ascii texts. Life is short, be cool.xart可以将输入的字符变成艺术字 安装可用过命令pip install xart 也可以直接去GitHub上通过源码安装,地址 https://github.com/xlzd/
MPLS相关实验
2302_78454622的博客
08-20 568
4、R1上使用静态,R7上运行rip协议,R8上运行ospf协议。3、在R2、R3、R4、R5、R6上运行MPLS。2、R3、R4、R5、R6运行ospf。1、合理利用IP地址进行分配。一、实验拓扑图以及实验要求。一、实验拓扑图以及实验要求。
哪些类型的企业需要开展TPM管理培训?
最新发布
tianxingjian713的博客
08-23 579
例如汽车制造企业、电子制造企业等,这些企业的生产线通常由大量高精度的自动化设备组成,一旦设备出现故障,可能会导致整个生产线停产,造成巨大的经济损失。开展TPM管理培训可以提高员工对设备的维护和管理能力,延长设备的使用寿命,降低设备维修成本,提高物流服务的效率和质量。通过开展TPM管理培训,让设备操作人员、维护人员和管理人员共同参与设备维护,实现设备的零故障运行,从而提高企业的竞争力。通过开展TPM管理培训,让员工了解设备的运行原理和风险点,加强设备的日常巡检和维护,提高设备的安全性和可靠性。
2024年入职/转行网络安全,该如何规划?_网络安全职业规划
2401_85023531的博客
08-23 814
前段时间,知名机构麦可思研究院发布了《2022年中国本科生就业报告》,其中详细列出近五年的本科绿牌专业,其中,信息安全位列第一。
Spring websocket并发发送消息异常的解决
ls1120623840的博客
08-19 309
本文主要介绍了 Spring websocket并发发送消息异常的解决,当多个线程同时尝试通过 WebSocket 会话发送消息时,会抛出异常,下面就来解决一下,感兴趣的可以了解一下。
Java编程
2301_80150315的博客
08-19 866
进程:进程是程序的基本执行实体线程:线程是操作系统能够进行运算调度的最小单位,它被包含在进程中,是进程中的实际运作单元可以简单理解为应用软件中相互独立,可以同时运行的功能,提高了程序的运行效率只要想让多个事情同时运行就需要用到多线程,比如:软件中的耗时操作所有的聊天软件所有的服务器并发:在同一时刻,有多个指令在单个CPU上交替执行并行:在同一时刻,有多个指令在多个CPU上同时执行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值