黑客一直在使用偽造的錯(cuò)誤日志來存儲(chǔ)偽裝成十六進(jìn)制值的ASCII字符，這些字符會(huì)解碼為旨在為基于腳本的攻擊奠定基礎(chǔ)的惡意有效負(fù)載。 這個(gè)技巧是中間PowerShell命令更長(zhǎng)鏈的一部分，該命令最終提供用于偵察目的的腳本。

　　MSP威脅檢測(cè)提供程序HuntressLabs發(fā)現(xiàn)了一種攻擊情形，即在目標(biāo)計(jì)算機(jī)上具有持久性的威脅參與者嘗試運(yùn)行一種不尋常的技巧來繼續(xù)其攻擊程序。 攻擊者已經(jīng)可以訪問目標(biāo)系統(tǒng)并獲得持久性。從這個(gè)位置開始，他們使用了一個(gè)名為“a.chk”的文件，該文件模仿了應(yīng)用程序的Windows錯(cuò)誤日志。最后一列顯示了似乎是十六進(jìn)制的值。

　　但是，這些是ASCII字符的十進(jìn)制表示形式。解碼后，他們將制作一個(gè)腳本，與命令和控制服務(wù)器聯(lián)系以進(jìn)行下一步攻擊。 HuntressLabsThreatOps副總裁JohnFerrell在今天的一份報(bào)告中說，粗略瀏覽模擬日志文件可能不會(huì)產(chǎn)生任何標(biāo)記，因?yàn)樵摂?shù)據(jù)包括時(shí)間戳和Windows內(nèi)部版本號(hào)的引用。

　　乍一看，它看起來像是某些應(yīng)用程序的日志。它帶有時(shí)間戳，并包含對(duì)OS6.2的引用，Windows8和WindowServer2012的內(nèi)部版本號(hào)”-JohnFerrell 仔細(xì)檢查就會(huì)發(fā)現(xiàn)演員使用的技巧來提取相關(guān)的數(shù)據(jù)塊(數(shù)字字符)并構(gòu)建編碼的有效載荷。在下面，您可以看到數(shù)字如何轉(zhuǎn)換為文本以形成腳本。

　　費(fèi)雷爾(Ferrell)解釋說，有效載荷是通過計(jì)劃任務(wù)獲得的，該任務(wù)模擬了主機(jī)上的合法任務(wù)(只是一個(gè)字母有所不同)并共享其描述。涉及兩個(gè)可執(zhí)行文件，它們都被重命名為合法文件的副本，以顯得無害。 使用合法的文件名 一個(gè)名為“BfeOnService.exe”，是“mshta.exe”的副本，該文件執(zhí)行MicrosoftHTML應(yīng)用程序(HTA)，該MicrosoftHTML應(yīng)用程序(HTA)被濫用以部署惡意HTA文件。

　　在這種情況下，它將執(zhí)行VBScript以啟動(dòng)PowerShell并在其中運(yùn)行命令。 另一個(gè)名為“engine.exe”，是“powershell.exe”的副本。其目的是提取偽日志中的ASCII碼并將其轉(zhuǎn)換以獲得有效負(fù)載。它們的工作方式如下：

　　Ferrell指出，以此方式解碼的腳本將內(nèi)存補(bǔ)丁應(yīng)用于反惡意軟件掃描接口(AMSI)來繞過它。AMSI幫助防病毒程序檢測(cè)基于腳本的攻擊。 執(zhí)行第二個(gè)充當(dāng)下載程序的命令，以檢索具有相同功能的另一個(gè)PowerShell命令。鏈的末尾是一個(gè)有效負(fù)載，可收集有關(guān)受感染系統(tǒng)的信息。

　　目前尚不清楚攻擊者的目標(biāo)，但是最后一個(gè)腳本收集有關(guān)已安裝的瀏覽器，常規(guī)和特定的稅收準(zhǔn)備和安全產(chǎn)品(Lacerte，ProSeries，Kaspersky，Comodo，Defender)和銷售點(diǎn)軟件的詳細(xì)信息。 盡管這遠(yuǎn)非復(fù)雜的攻擊，但它表明網(wǎng)絡(luò)犯罪分子將探索所有途徑以在目標(biāo)網(wǎng)絡(luò)上立足，并以創(chuàng)造性的方式發(fā)展其攻擊，這在某些情況下可能會(huì)奏效。

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請(qǐng)保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場(chǎng)，如有內(nèi)容涉嫌侵權(quán)，請(qǐng)聯(lián)系alex-e#qq.com處理。