攻击技术研判 |利用开源软件包安装程序Chocolately落地的新型后门

已于 2024-01-10 19:08:45 修改
阅读量87 收藏
点赞数
文章标签: 服务器 网络 安全 运维
于 2023-08-19 10:30:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xnxqwzy/article/details/132359445
版权

情报背景

Proofpoint团队近日发现了一种利用合法开源软件包安装程序Chocolatey来实现后门的独特攻击,后门被命名为Serpent。在本次事件中,攻击者利用合法的Python代码实现通信以绕过检测,并通过独特的计划任务利用方式实现持久化。本文将就事件中出现的相关技术进行分析阐述。

组织名称

|

Serpent

—|—

战术标签

|

载荷执行 命令与控制

技术标签

|

PowerShell执行 Python脚本执行 计划任务

情报来源

|

https://www.proofpoint.com/us/blog/threat-insight/serpent-no-swiping-new-
backdoor-targets-french-entities-unique-attack-chain

**01 **攻击技术分析

攻击仍旧以宏文档作为入口,通过宏下载隐写图像,并调用其中隐藏的PowerShell脚本。PowerShell脚本在宿主上下载并安装Chocolatey。PowerShell脚本利用Chocolatey安装Python以及PySocks反向代理等依赖项,然后下载以相同技术隐写在图像中的后门Python脚本,并通过bat文件执行。具体流程如下:

1651132987_626a4a3bc460b9412df49.png!small?1651132988236

亮点一:利用Chocolatey建立PySocks反向代理客户端进行流量转发

Chocolatey是一款用于Windows的软件自动化管理工具,能够将安装程序、可执行文件、ZIP和脚本打包到编译好的包中。Serpent利用Powershell脚本实现Chocolatey的下载和安装,然后利用Chocolatey强大的环境配置能力实现Python的部署。在Chocolatey的官网上,可以看到其支持9000余种常见软件的命令安装,其中不乏各种开发环境的安装配置:

1651133000_626a4a481d339b52b343c.png!small?1651133000593

利用该强大的自动化安装能力,样本能够方便地部署需要的Python环境。这种高度自动化的环境部署能力在带来方便的同时,也为攻击者提供了极大的便利。攻击者或许能够提供更加难以发现的混淆初始载荷代码,利用Chocolatey在宿主环境中部署相应环境,生成攻击载荷,这可能使得很多终端防护措施可以被轻松绕过。

样本利用Python Socket实现后门,接收命令并回传执行结果。基于部署好的Python环境,能够很好地将相关流量伪装在Python背后。

亮点二:利用事件触发计划任务实现进程伪装

与以往通过创建计划任务周期性执行载荷的利用方式不同,在本次事件中,样本执行以下计划任务命令创建一次性任务来调用可执行文件:

  • schtasks.exe /CREATE /SC ONEVENT /EC application /mo *[System/EventID=777] /f /TN run /TR “xxxxx”

  • EVENTCREATE /ID 777 /L APPLICATION /T INFORMATION /SO DummyEvent /D “Initiatescheduled task.”

  • schtasks.exe /DELETE /TN run /f

创建的一次性任务的触发条件为是否创建了事件ID为777的Windows事件。接着,命令创建一个ID为777的虚拟事件来触发该任务,随后从任务调度中删除任务,事了拂衣去。利用计划任务的事件触发来执行有效载荷可导致有效载荷作为已签名Windows二进制文件的子进程执行:

1651133020_626a4a5cc3fc9e6bc9cbf.png!small?1651133020859

此处的执行对象会从直接托管Task Scheduler服务的svchost.exe派生:

1651133030_626a4a663e10293f902af.png!small?1651133030453

查看进程号为1420的svchost进程:

1651133040_626a4a700ad0c8abd28ad.png!small?1651133040206

可以看到,目标程序作为Schedule服务所在的1420进程的子进程创建,以此达成进程伪装的目的,提高了执行时的隐蔽性与排查难度,且实现难度很低。

**02 **总结

1.利用Chocolatey作为初始有效载荷,因为软件包的合法性,能够有效绕过威胁检测。这一手法利用了本应创造便利的工具部署代码运行环境以执行恶意代码,这对终端防护措施提出了新的挑战;

2.创新性地将计划任务用于载荷执行而非本地持久化,新颖的执行方式使得恶意行为的执行更加隐蔽。

以执行恶意代码,这对终端防护措施提出了新的挑战;

2.创新性地将计划任务用于载荷执行而非本地持久化,新颖的执行方式使得恶意行为的执行更加隐蔽。

最后

从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。

因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。

干货主要有:

①1000+CTF历届题库(主流和经典的应该都有了)

②CTF技术文档(最全中文版)

③项目源码(四五十个有趣且经典的练手项目及源码)

④ CTF大赛、web安全、渗透测试方面的视频(适合小白学习)

⑤ 网络安全学习路线图(告别不入流的学习)

⑥ CTF/渗透测试工具镜像文件大全

⑦ 2023密码学/隐身术/PWN技术手册大全

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

扫码领取

程序员菠萝
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ChocolateyPackages:我发布的Chocolatey套餐
03-14
像我? 或我的? 觉得有用吗? 欣赏我的辛勤工作,时间和精力吗? 怎么给我买一个 通过贝宝吗? 更好的是...让我通过Patreonize激励我! 如果适用,请始终考虑捐赠或购买您安装的软件-包括。 TIA, 账单 是的,我打包要求! 专长/最高优先级: 公司包装出租。 我使用的所有东西! 技术人员工具:管理工具,诊断工具,网络工具,安全工具,系统管理等。 大家伙:亚马逊,戴尔,谷歌,惠普,英特尔,微软,NETGEAR 智能家居/多媒体/服务器:Hue,Plex,Insteon,Nest,Squeezebox,TiVo,WeMo,同步软件等。 Windows上与Android相关的任何内容。 我还认为Chocolatey社区存储库需要: 更多游戏! 更多儿童教育软件!
chocolatey-postman:这是安装Windows版Postman的Chocolatey软件包
04-11
巧克力包装:邮递员 这是一个可安装软件包安装 安装 (如果尚未安装) 。 choco install postman 。
AlmezaMultiSetPRO-非常好用,省时省力的软件自动安装工具
Amy_aaa的博客
08-07 115
总之,AlmezaMultiSetPRO软件自动安装工具是一款非常实用、功能强大的工具,能够大大提高软件安装效率,节省时间。它的自动化程度高、安装速度快、支持批量安装和无人值守安装等优势,使得它成为企业或个人首选的软件安装工具。可以轻松地同时安装多个软件,大大提高了软件安装的效率。的软件自动安装工具,它的出现为软件安装过程带来了革命性的变革。4.在安装过程中,要密切关注安装进度和日志信息,及时发现并解决安装过程中出现的问题。3.安装速度快:由于同时安装多个软件,因此安装速度比单个软件安装要快;
怎么在linux使用qq和微信
qq_34028920的博客
10-12 1268
下载一个wine就能在linux上运行windows的exe程序了 ctrl+alt+T 打开终端,输入 命令 : sudo apt-get install wine 安装成功后,在浏览器上下载QQ,微信的exe安装包 然后直接在终端输入 ‘wine ’再直接把安装包拖拽到终端窗口上 (回车后可能会出现另一个出错的窗口,直接点掉就行,再回车一次就能进行安装,默认是安装到一个隐藏文件.wine上的,我自己安装到容易看到的文件去了) qq也是一样的操作(我下载的是tim) ...
Chocolatey的安装与使用
peanut的博客
07-21 1万+
Chocolatey 安装与使用 本文介绍了 Chocolatey 的安装与使用过程。这篇文章不是为普通用户编写的,而是给需要统一开发环境的开发人员写的 为什么要用 Chocolatey 如果使用过 Linux 一定熟悉一行代码进行软件的搜索,安装,更新,卸载等所有操作。而 Windows 中的也有包管理器 Chocolatey 。虽然没有 Linux 里的包管理器那么强大,但让 Windows 安装软件方便了很多。 Chocolatey 的安装 方法一:以管理员身份打开cmd.exe(很重要),执行以下
chocolatey_开始使用开源Windows软件包管理器:Chocolatey
cumo7370的博客
07-15 545
chocolatey 早在1990年代,Linux是一个年轻的操作系统时, Ian Murdock就以现在的apt命令的形式发明了应用商店的概念。 这就提出了一个想法,即计算机的容量是无限的,实际上,任何命令都应该对您可用; 您要做的就是将其从网络存储库复制到本地系统。 当时这似乎是不可能的,但是现在不管是使用DNF或Apt的Linux计算机,使用Homebrew的Mac OS还是使用Choco...
StreamerTimes:VanillaJS和Node.JS的项目
05-11
流光时代Node.js安装:choco安装nodejs-lts 通过使用Chocolately软件NPM(节点程序包管理器)环境快速安装:npm install express Babel安装:npm install @ babel / nodeode + npm install @ babel / preset-env ...
chocolatey的使用
Mr_Cat123的博客
02-04 8748
关于chocolatey的一些命令,此博客描述了一些,更多命令见官网(在这些命令之前加choco就可以,如choco -list) 首先是安装chocolatey,(默认安装C盘,安装到D盘跳过此段见下文)官网https://chocolatey.org/install 以管理员身份打开cmd,输入以下命令 (强烈建议在输入以下命令之前先将计算机–右键属性–高级–环境变量–path–编辑–里
Windows上的巧克力味Chocolatey详解
chszs的专栏
06-29 2万+
Windows上的巧克力味Chocolatey详解作者:chszs,未经博主允许不得转载。Chocolatey是什么?很简单,Chocolatey就是Windows系统的yum或apt-get。Chocolatey是一款专为Windows系统开发的、基于NuGet的包管理器工具,类似于Node.js的npm,MacOS的brew,Ubuntu的apt-get,它简称为choco。
Windows下的包管理器Chocolatey
weixin_34194551的博客
05-23 289
本文参考了Chocolatey的官方文档,如果想了解更多信息,请直接参阅官方文档。 如果使用过Linux的话,一定会被其简洁的软件包管理系统所折服。在Linux世界中,安装一个软件不需要在浏览器中寻找软件的官网,然后将其下载下来,然后双击进行安装。只需要一条简单的命令,就可以完成搜索、安装、更新、卸载等所有操...
php程序员常用的app,程序员喜欢的十款软件
weixin_34168834的博客
03-12 324
VSCODE不管你是前端程序员,还是后端程序员,不管你是写JAVASCRIPT,PHP,还是PYTHON等,vscode都是你的绝佳伴侣。在vscode之前,很多人都喜欢sublime,一方面是因为它的极致启动速度,一方面是它的丰富的插件极致,而随着vscode的出现,虽然启动速度相比较sublime少许一筹,但是相比其它IDE可以说还是非常强大的,而且它的插件市场已经超过了sublime。 ZE...
Chocolatey 强大的windows 软件包管理工具
lee576的专栏
02-21 1万+
当下,包管理工具十分流行,如今不光是开发用的包,就连软件包都有管理器了。 下面隆重推荐 Chocolatey ,官网 跟其他包管理器一样,都推崇使用命令行下面说一下安装方法 管理员身份运行 cmd@powershell -NoProfile -ExecutionPolicy Bypass -Command “iex ((new-object net.webclient).DownloadStr
【choco 安装】chocolatey 安装步骤包管理工具
热门推荐
老程
08-22 3万+
他可以帮你安装东西,不用下载环境软件,就可以使用。 官网 chocolatey 单击我下载 安装要求 Windows 7+ / Windows Server 2003+ PowerShell v2 + .NET Framework 4+(如果您没有安装,则安装将尝试安装.NET 4.0)而已!所有你需要的是choco.exe(你从安装脚本中获得),你很高兴!不需要Visual...
chocolatey_适用于Windows的Apt-Get-Windows 10上的OneGet和Chocolatey
cunfuxiao7305的博客
10-11 779
chocolateyIn 2013 I asked the questions "Is the Windows user ready for apt-get?" As with nearly all my blog posts, the comments are better than the post itself. ;) 在2013年,我问了一个问题:“ Windows用户准备好进行apt-g...
百度网盘限速解决办法
最新发布
生活在别处
06-13 9727
比如可以获取下载直链后,使用IDM(Internet Download Manager)对该直链进行多线程下载,但是并不会有实际速率提升效果,因为百度网盘在服务器端进行了限速,多线程的速率总和被限制在了100KB/s左右。(现在虽然是所谓玩游戏获得会员下载体验,实际上点击后会在百度网盘内打开一个web游戏,并不需要游玩游戏,直接等待会员下载体验时间结束即可关闭web游戏窗口)所以,客户端这些改动伎俩通通没有实际效果,即使在客户端显示无限速、显示会员体验,都只是自欺欺人而已。
多进程并发服务器
dc爱傲雪和技术
06-12 288
3.子进程:完成通信,接受一个客户端连接,就创建一个子进程用于通信。要实现TCP通信服务器处理并发的任务,使用多线程或者多进程来解决。2.父进程负责等待并接受客户端的连接。
Joplin Typora 粘贴图片 | 当使用Typora作为Joplin编辑器时,如何粘贴图片并上传到Joplin服务器,替换链接
瑞哥的博客
06-12 606
然而Typora中上传的图片只能在本地,无法上传到Joplin服务器,在其他客户端也看不到图片。本文编写了一个脚本,通过Typora的上传服务器功能,自动上传图片并替换为Joplin链接。在编辑器内粘贴图片,按下ctrl+s 保存,等待几秒后自动替换为内部连接,大公告成。当我们使用Joplin时,上传图片时会自动上传到Joplin服务器并替换链接。选择图象,上传服务,命令,确保你的python环境和模块正确。如果遇到问题,可以手动点击上传图片,检查顶部报错。token可以在网页剪藏器中获取。
服务器被墙是什么原因,怎么解决服务器被墙
m0_70754056的博客
06-11 371
安全问题:服务器被发现存在漏洞或存在安全隐患时,为了保护网络安全,防止黑客入侵或恶意攻击,管理员可能会采取封锁措施。提高网络安全性:及时更新服务器、操作系统和应用程序的补丁,加强网络安全防护措施,减少服务器被黑客攻击的风险。更改DNS服务器:将DNS服务器更改为可用的公共DNS服务器,以避免被封锁的网站或应用程序。最重要的是了解服务器被墙的原因以及采取有效的措施应对,确保服务器的正常运行和数据安全。寻找替代网络服务:如果服务器被封锁,可以寻找其他类似的服务或平台,以满足需要。
windows命令帮助大全
xiansibao的博客
06-13 561
用法: shutdown [/i | /l | /s | /r | /g | /a | /p | /h | /e] [/f]串行端口: MODE COMm[:] [BAUD=b] [PARITY=p] [DATA=d] [STOP=s]例如: 'FINDSTR "hello there" x.y' 在文件 x.y 中寻找 "hello" 或。- 必须在验证登录的域中的所有服务器上运行 Net Logon 服务。/UNILOG+:文件 :: 以 UNICODE 方式将状态输出到日志文件(附加到现有日志中)。
Chocolately换源
08-16
请注意,更改源可能会影响您从中安装软件包的可用性。确保您选择的源是可靠和稳定的。如果您不确定,请参考Chocolatey的官方文档以获取更多信息。<span class="em">1</span><span class="em">2</span><span class=...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值