3 rdp连接_揭开谍中谍的好戏,关键词:HW、RDP漏扫、红蓝对抗

最新推荐文章于 2024-05-16 09:51:22 发布
最新推荐文章于 2024-05-16 09:51:22 发布
阅读量243 收藏
点赞数
文章标签: 3 rdp连接
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36443823/article/details/112720716
版权

f8a03e99af0491f1f3510c009e90016b.png

腾讯御见威胁情报中心监测到网上一款编译好的RDP漏洞(腾讯安全专家命名为RDS漏洞)检测工具在流行,这款工具并非来自权威安全厂商或知名研究小组。为了让戏更足一些,有人还给此款工具配上漂亮的解说blog。腾讯安全专家对该工具进行技术分析,结果发现这是一出谍中谍的好戏……

一、概述
腾讯御见威胁情报中心监测到网上一款编译好的RDP漏洞(亦有安全专家命名为RDS漏洞)检测工具在流行,这款工具并非来自权威安全厂商或知名研究小组。为了让戏更足一些,有人还给此款工具配上漂亮的解说blog,如下图所示。在Blog的末尾附上这款RDP漏洞检测工具的网盘下载地址,不过很快blog和网盘链接都已失效。腾讯安全专家对该工具进行技术分析,结果发现这是一出谍中谍的好戏:有人假冒安全研究者煞有介事的编造了一个故事,利用你对安全工具的好奇心,钓你上钩。

86a01a10a3542f6ae04c242db250e6af.png


Blog结尾的工具介绍

75c706354921df65b04089c8d6fadc36.png


这个所谓的RDP漏洞检测工具到底是个什么鬼玩意儿,且看下面的技术分析。
二、技术分析
Rdpscan.exe详细分析
工具包解压后如下所示:

134fc88393a3b2e83132ffb6ca62c5b2.png


将下载回来的rdpscan工具,用ida打开,并与github上的开源代码进行比较后发现,在main函数中多了一段病毒代码。该段代码的作用是读取“ssleay32.dll”中shellcode,并利用CreateThread将此shellcode执行起来。

95c9b32b592e0d8ff2e1dd5fcfe40fae.png


ssleay32.dll详细分析
该dll中内容为未加密的shellcode,入口点如下所示。

d49a055caf3ffd1640656f809816e7e9.png


主要作用是用VirtuaAlloc、 LoadLibray、GetProcAddress等函数准备好环境后,再执行另一段shellcode。

bc5161b2a1045a2de6cd55410a2c8ef5.png


另一段shellcode入口点如下所示

206acc45f3578914ac9810ca4740a7dc.png


Shellcode中调用api的方式全部是下面这种方式

a1da0f9d4692ce0b1e7341c8a901ad84.png


会利用CreateThread创建多个检测线程,用于检测调试器等。会创建线程检查多个系统dll中api是否存在int3断点,如果存在会退出进程。

b0120420db6ec80967df1f7b8667425c.png


会创建线程利用CreateFile函数检查".Regmon"、".FileMon"、".ProcmonDebugLogger"、".NTICE" 等工具是否存在,检查到后,会利用TerminateProcess结束进程。

65d3004025d9da755845c7c5f092d7db.png


会创建线程检测窗口的classname,窗口类名主要有"ACPUASM"、"AOPOASM" 、"AOPUASM"、"ACPOASM"、"WinDbgFrameClass"

d579535a4864c4d7f89e493271189cdb.png


会创建线程利用IsDebuggerPresent 和 GetTickCount函数来检测调试器

b7547112bf43f31ee633abd8b91bcdf8.png


会创建线程利用OpenMutex函数来检查wireshark是否存在,用到的mutex名称有“Wireshark-is-running-{9CA78EEA-EA4D-4490-9240-FC01FCEF464B}”等

acf6e0a9e18958c158edb3cec0a8b3a6.png


在dllmain函数结尾会出现“Poison Ivy C++”的字符串,然后执行其它多个shellcode模块

75344449ef8beaccd8c2de893d118547.png


木马的核心功能都在如下6个shellcode模块中,并且相互调用,几乎每个模块都会创建多个线程执行上面那些反调检测逻辑。

6f23b679bb49d8b3a1328181475de463.png


解密后的木马配置项如下所示,木马c2假冒知名安全厂商赛门铁克的域名(http://security.symanteclabs.com,目前已无法访问)。Shellcode还会根据配置项创建svchost.exe进程,并将代码注入其中,然后svchost.exe会访问c2,执行配置的相关功能,通过以上代码及木马配置等信息与参考资料中的对比,可以确信是Poison Ivy Rat(远程控制木马)。这类木马可以对目标计算机的文件、注册表、进程、键盘记录、甚至摄像头等进行远程控制。

dc90a7a1e03f40a9b3c14e2f875e3fbd.png


三、安全建议:1. RDP漏洞固然可怕,请使用官方认证的RDP漏洞检测工具,推荐使用鹅厂安全团队的RDS远程批量漏洞检测工具,下载地址:http://dlied6.qq.com/invc/xfspeed/qqpcmgr/versetup/portal/RDSRemoteScanTools1.1.zip

cb8f482dff79dc9f41aec9be8fb759c5.png


据腾讯御见威胁情报中心监测分析,自上个月Windows远程桌面服务漏洞公开以来,已有部分用户按安全厂商的建议完成漏洞修复,尚未修复漏洞的电脑仍然数量众多,建议尽快修复,避免成为黑灰产控制的肉鸡。相关链接:https://guanjia.qq.com/avast/383/index.html
2. 警惕使用来历不明的工具软件,尤其是与安全相关的,小心跌入精心策划的陷阱;
3. 企业客户可以使用腾讯御点终端安全管理系统,来保护系统免遭病毒木马入侵;
4. 疑似中招的可检测有无异常程序连接下文c2服务器,以及创建名为Test或TestSvc的服务,或使用腾讯御点清除病毒。
IOCs:
Md5:
d0840aeb2642d718f325a07a4b7f6751(rdpscan.exe)
77e929095d57c044f18ab259023c9ea5(RDP检测工具&HW第一天攻击方IP库.zip)
27b0374083f46693df15c0e3fffad070(ssleay32.dll)
C2:

security.symanteclabs.com​security.symanteclabs.com security.symanteclabs.com​security.symanteclabs.com www.symanteclabs.com/hw.html​www.symanteclabs.com


参考资料:

Deep Analysis of New Poison Ivy Variant​www.fortinet.com
ae62224f2b6c5e283806160a9cb1485e.png
https://dhsagarinfo.blogspot.com/free-download-poison-ivy-rat-232-and​dhsagarinfo.blogspot.com

作者:腾讯电脑管家

656141ddc66d2047587ceca87e55cf7b.png
撒旦-cc
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
3389漏洞批量检测工具
01-17
3389远程桌面代码执行漏洞CVE-2019-0708批量检测工具(Rdpscan Bluekeep Check)
远程桌面代码执行漏洞复现(CVE-2019-0708)
春日野穹
06-24 1287
目录导航 一. 漏洞范围 二. 漏洞探测 三. 漏洞利用 四. 修复建议 CVE-2019-0708 漏洞影响范围: Windows 7(已停止维护) Windows Server 2008 R2 Windows Server 2008 Windows Server 2003(已停止维护) Windows XP(已停止维护) 漏洞复现环境:ed2k://|file|cn_windows_7_enterprise_x64_dvd_x15-70741.iso|3203516416|876DCF115C
rdpscan-windows.zip
02-18
这是一款快速的CVE-2019-0708漏洞扫描工具。目前,公共互联网上大约有900,000台机器容易受到这种漏洞的影响,这还是一个命令行工具。您可以下载源代码并自行编译,也可以从上面的链接下载一个用于Windows或macOS的预编译二进制文件。
未授权和代码执行漏洞特征和检测方法
wutiangui的博客
10-13 1184
查看在被测应用的服务器上查看应用所在目录/WEB-INF/lib/下的jar文件,若存在fastjson-1.2.*.**.jar格式的jar文件,或者抓包发现被测应用系统的响应报文中包含“com.alibaba.fastjson”字符串,则需检测是否存在fastjson反序列化漏洞。s=captcha,若响应包中包含phpinfo信息,则说明存在代码执行漏洞。依次修改URL末尾的端口号为常见的22,80,443,7001,8080等端口,若页面中根据端口号不同出现如下字符串,说明存在SSRF漏洞。
[POC]微软3389远程漏洞CVE-2019-0708批量检测工具
weixin_30297281的博客
06-02 597
0x001 Win下检测 https://github.com/robertdavidgraham/rdpscan C:\Users\K8team\Desktop\rdpscan-master\vs10\Release 的目录 2019/06/02 02:11 <DIR> . 2019/06/02 02:11 <DIR>...
rdp.rar_RDp_site:www.pudn.com_vba rdp_vba 批量_批量远程
09-24
2. **setting.ini**:这是一个设置文件,很可能包含了RDP连接的相关参数,如服务器地址、端口、用户凭据等,用户可以通过修改此文件来定制RDP连接设置。 3. **pwd.txt**:这个文件可能是存储密码的文本文件,用于...
RDP.rar_RDp_rdp wince _rdp client_rdp connection_rdp.pdf
09-22
RDP客户端(rdp_client)就是用来发起连接到远程服务器的应用程序,而RDP连接rdp_connection)则涉及建立和管理这些连接的过程。RDP不仅支持文本和图形的传输,还支持音频、剪贴板共享、打印以及多种输入设备的...
RDP.zip_RDp_protocol c_rdp开发_zip
09-23
标题中的“RDP.zip_RDP_protocol_c_rdp开发_zip”暗示了我们正在讨论与远程桌面协议(Remote Desktop Protocol, RDP)相关的C语言编程和开发。RDP是一种由微软开发的网络通信协议,允许用户通过图形界面远程访问另一...
RDP.rar_Delphi RDP_RDP delphi_delphi r_delphi win7 _rdpbrute
09-14
Delphi RDP brute on ActiveX componnents, alpha version working on WinXP Win Vista Win7 Win2k3 Win2k8 Win2k8r2
TinyCoreLinux_RDP_ITalian:用于RDP连接的TinyCoreLinux-开源
05-08
TinyCoreLinux的修改版本,使您的旧PC成为RDP连接的理想瘦客户端。 意大利语键盘已经设置好,并且简短的指南会在第一次启动时出现。 它需要大约100 Mb RAM才能平稳运行,并且需要同样大的磁盘/密钥。
Rdpscan.rar
10-15
3389批量扫描器,比较稳定。可以做测试使用。。。。使用前请安装NET4.0版本
CVE-2018-0886
龙卷风摧毁停车场
03-15 1万+
Windows Remote Desktop Protocol (RDP) 中存在的漏洞,也称为 CredSSP 漏洞。该漏洞允许在目标系统上执行任意代码,不需要身份验证。在 RDP 连接过程中,Windows 使用 “CredSSP”(Credential Security Support Provider)安全协议验证用户身份。该协议使用加密算法保护凭证传输过程,通过双方协商的方式选择使用哪种加密算法。
探索安全的边界:rdpscan - CVE-2019-0708蓝屏漏洞扫描器
gitblog_00001的博客
05-16 332
探索安全的边界:rdpscan - CVE-2019-0708蓝屏漏洞扫描器 项目地址:https://gitcode.com/robertdavidgraham/rdpscan 在这个瞬息万变的数字时代,网络安全成为了我们不可忽视的重要议题。当你面对像CVE-2019-0708这样的重大远程桌面协议(RDP)漏洞时,你需要一个快速且有效的工具来检测并保护你的网络环境。这就是rdpscan,一款专...
远程exp_超详细:微软RDP远程代码执行漏洞分析
weixin_34284072的博客
01-12 1298
不久前,我看到一篇关于漏洞分析的文章,想着给你们做一篇关于漏洞分析的合集。于是就有了下面这篇关于微软RDP远程代码执行漏洞(CVE-2019-0708)分析概述某天,微软发布补丁,修复了一个严重的RDP远程代码执行漏洞。该漏洞无需身份认证和用户交互,可能形成蠕虫爆发,影响堪比wannycry。影响范围Windows 7Windows Server 2008 R2Windows Se...
mapperscan扫描多个包_Rdpscan:一款BlueKeep快速扫描工具
weixin_39612817的博客
11-26 1597
这是一款快速的CVE-2019-0708漏洞扫描工具。目前,公共互联网上大约有900,000台机器容易受到这种漏洞的影响,这还是一个命令行工具。您可以下载源代码并自行编译,也可以从上面的链接下载一个用于Windows或macOS的预编译二进制文件。此工具完全基于https://github.com/zerosum0x0/CVE-2019-0708的rdesktop补丁。我只是修改了代码,...
揭开谍中谍好戏关键词HWRDP漏扫红蓝对抗
systemino的博客
06-13 849
有人假冒安全研究者煞有介事的编造了一个故事,利用你对安全工具的好奇心,钓你上钩。 一、概述 腾讯御见威胁情报中心监测到网上一款编译好的RDP漏洞(亦有安全专家命名为RDS漏洞)检测工具在流行,这款工具并非来自权威安全厂商或知名研究小组。为了让戏更足一些,有人还给此款工具配上漂亮的解说blog,如下图所示。在Blog的末尾附上这款RDP漏洞检测工具的网盘下载地址,不过很快blog和网盘链接都已失...
浅谈针对rdp协议的四种测试方法
Fly_鹏程万里
10-30 4383
渗透测试通常情况下是以功能为导向的。一组协议通常能支持、实现一种功能。本文浅谈一下针对 RDP 协议的几种测试方法,也就是针对远程桌面这种功能的利用。本人水平有限,但仍希望对大家能有帮助。 基本介绍 这里讨论的是 windows 下的 rdp(Remote Display Protocol )协议,也就是 windows 的远程桌面。通过提供一个有效的用户账号密码即可登陆到服务端,进行图形界面...
linux远程漏洞利用工具,微软3389远程漏洞CVE-2019-0708批量检测工具
weixin_35649605的博客
05-05 376
0x001 Win下检测https://github.com/robertdavidgraham/rdpscanC:\Users\K8team\Desktop\rdpscan-master\vs10\Release 的目录2019/06/02 02:11 .2019/06/02 02:11 ..2019/06/02 01:55 ...
CVE-2019-0708——RDP漏洞利用
热门推荐
迷风小白
07-03 6万+
背景介绍 Windows系列服务器于2019年5月15号,被爆出高危漏洞,该漏洞影响范围较广,漏洞利用方式是通过远程桌面端口3389,RDP协议进行攻击的。这个漏洞是今年来说危害严重性最大的漏洞,跟之前的勒索,永恒之蓝病毒差不多。 影响系统:windows2003、windows2008、windows2008 R2、windows xp 、win7 环境: 攻击机:kali IP:192....
xrdp_rdp_recv: xrdp_channel...iled
最新发布
05-27
xrdp_rdp_recv是xrdp项目中的一个函数,其作用是接收远程桌面连接中的数据包。xrdp_channel是xrdp项目中与通道有关的结构体。xrdp_rdp_recv函数在接收数据包时可能会出现通道接收失败的情况,此时会返回xrdp_channel...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值