端口扫描的CS木马样本的分析

这篇具有很好参考价值的文章主要介绍了端口扫描的CS木马样本的分析。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

序言

病毒、木马是黑客实施网络攻击的常用兵器,有些木马、病毒可以通过免杀技术的加持躲过主流杀毒软件的查杀,从而实现在受害者机器上长期驻留并传播。

CobaltStrike基础

Cobalt Strike简称CS,它是一款非常好用的渗透测试工具,它允许攻击者在受害机器上部署名为“Beacon”的代理,Beacon 为攻击者提供了丰富的功能。它可以快速地生成后门并通过其控制目标主机。

CS拥有多种协议主机上线方式,集成了提权,凭据导出,端口转发,服务扫描,自动化溢出,多模式端口监听,木马生成,木马捆绑,socket代理,office攻击,文件捆绑,钓鱼等多种功能。但它也通常被利用于恶意木马后门、被利用于远程控制。

它支持通过 shellcode方式,创建自定义的C2二进制可执行文件,还支持通过修改代码来隐藏恶意程序。

cs 端口扫描,安全,网络安全

基于CobaltStrike生成恶意 payload, 共分为5种:

1、HTML Application 生成 hta 形式的恶意 payload

2、 MS Office Macro 生成宏文档的 payload

3、 Payload Generator 生成各种语言的 payload

4、Windows Executable 生成可执行的分段 payload

5、 Windows Executable(S) 生成可执行的不分段 payload

Windows平台的 payload 有分段和不分段两种模式:

1、选择分段: 它生成的原始文件会很小,原始文件就是一个download,用于从C2下载并加载后续的 payload;

2、不分段模式: 它生成的原始文件跟普通软件大小差不多,原始文件是一个loader加载器,可以直接将 shellcode 加载执行。

样本基础分析

下图是本次分析样本的基本属性,这个样本的图标通过伪装成中国移动的图标,通过上文的理论基础,我们可以直接猜测出它是采用不分段的摸索,这个样本就是一个loader,它直接执行shellcode的功能。

cs 端口扫描,安全,网络安全

下面通过PE的查壳工具Detect IT Easy对样本进行基本构成属性的分析,它首先是PE64的程序,并且是通过PyInstaller工具进行打包的(也就是说这个程序是通过python语言开发的),并且没有做任何保护的功能。
cs 端口扫描,安全,网络安全

下图通过CFF工具可以分析出,该样本的依赖模块都是系统模块,没有依赖自定义或者第三方的模块。

cs 端口扫描,安全,网络安全

行为数据分析

通过进程监控工具进行对样本启动过程进行文件监控(在虚拟机环境上测试)

下图可以清晰的看到该样本在启动的时候会创建很多文件(也就是依赖释放文件):

1、这里面有个python38.dll模块,表示该样本采用python3.8版本进行编译的。

2、还有释放了好几个的pyd的文件(pyd文件时由python编译生成的 Python 扩展模块,为啥要打包成pyd文件呢?因为pyd文件可以更好的防止反编译,只能反汇编。要分析pyd文件就得借助ida静态反汇编工具进行分析。)。

3、还有个base_library.zip文件(这个就是python工具打包成exe后,运行所需要的依赖模块)。

下图是od中进行释放文件的功能实现部分。

cs 端口扫描,安全,网络安全

通过CreateFileMapping方式操作文件。

cs 端口扫描,安全,网络安全

通过网络抓包工具Fiddler对样本的网络行为分析

通过下图的监控工具截图中可以看到,该样本在启动后通过http方式的网络通信行为,所指向的服务器:124.70.22.50:8090

cs 端口扫描,安全,网络安全

下图通过威胁情报的数据中心分析,该ip是华为云的,并且这个ip所指向的都已被标识为病毒相关信息。

cs 端口扫描,安全,网络安全

代码功能分析

从前面的分析这个样本是python基于python3.8开发的,通过python打包的应用可以通过解包还原出python的源代码,下面就对样本进行解包,分析解包后的源代码

1、通过基于pyinstxtractor.py进行解包,只要用pytho pyinstxtractor.py cs(样本名称)

cs 端口扫描,安全,网络安全

执行命令后,在目录中会出现解包后文件夹,这个文件夹就是解包后的数据

cs 端口扫描,安全,网络安全

通过下图可以看出这个样了里面主要由pyc文件、pyd文件、dll文件、zip文件构成的,其中高危端口检测.pyc就是样本的主程序。pyc文件无法直接查看需要将pyc文件转换为py文件。

cs 端口扫描,安全,网络安全

2、通过使用 uncompyle6 可以将.pyc文件反编译成.py文件

cs 端口扫描,安全,网络安全

执行完上面命令后,下图就是反编译转换后的py文件了,这时候就可以查看py的源代码。

cs 端口扫描,安全,网络安全

下图是反编译转换后高危端口扫描.py的源代码,这代码里面主要的功能实通过base64去加解密,通过开启一个线程去执行自定义的shellcode代码(shellcode代码可以用于对抗病毒查杀软件的查杀,也就是免杀功能)
cs 端口扫描,安全,网络安全

通过采用urllib方式的http通信(它是一个内置在Python标准库中的模块),使用http.client来实现HTTP和协议的客户端。基于Request方式进行http通信。

cs 端口扫描,安全,网络安全

防护思考

目前Cobalt Strike所有的后门都比较活跃,在红蓝对抗中占据很重要的地位,建议提前部署具备高级威胁检测能力的安全产品进行及时监控、防范。

个人降低和防范中木马病毒建议方式:

1、主机环境安装主流的病毒查杀软件并及时更新病毒库;

2、规范上网行为,不下载安装未知的软件;

3、不点开来历不明的文档、图片、音频视频等;

4、及时安装系统补丁,修复漏洞;

5、加强密码复杂度,定期更改密码;

6、进行严格的隔离,有关系统、服务尽量不开放到互联网上,内网中的系统也要通过防火墙、VLAN或网匣等进行隔离。文章来源地址https://www.toymoban.com/news/detail-539267.html

到了这里,关于端口扫描的CS木马样本的分析的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 某C2鸡肋漏洞分析:你的CS安全吗?

    CobaltStrike是一个知名的红队命令与控制框架,采用 Beacon - TeamServer - Client 架构。TeamServer存在受限路径穿越写文件与反序列化漏洞,可以被认证后客户端恶意利用。Client存在反序列化漏洞,可以被RogueCS攻击。 由于这个软件的特殊性,我们需要想想什么才是漏洞: 直接攻击Te

    2024年01月20日
    浏览(10)
  • 网络安全之端口扫描

    1、扫描三步曲 一个完整的网络安全扫描分为三个阶段: 第一阶段:发现目标主机或网络 (端口扫描) 第二阶段:发现目标后进一步搜集目标信息,包括操作系统类型、运行的服务以及服务软件的版本等。如果目标是一个网络,还可以进一步发现该网络的拓扑结构、路由设

    2024年02月13日
    浏览(11)
  • 端口扫描-安全体系-网络安全技术和协议

    全TCP连接:三次握手 半打开式扫描:前两次握手 FIN扫描:不用建立TCP连接 第三方扫描: 拒绝服务攻击有: 同步包风暴 ICMP攻击 SNMP攻击 都是修改注册表来防御攻击 考察这三种拒绝服务攻击的原理 a 由低到高,一共五个等级 自主保护级 系统审计保护级:粒度更细的自主保护级 安全标

    2024年02月09日
    浏览(11)
  • 网络安全02-C段扫描、开放端口

    2024年02月11日
    浏览(10)
  • 【Python安全编程】Python实现网络主机和端口扫描

    本文主要讲几个利用Python实现网络扫描的小例子,可以 结合多线程或多进程 编程改进实例 我曾经走过多遥远的路 跨越过多少海洋去看你 Python3环境 scapy库 socket库 能与物理机正常通信的虚拟机 由于本文实验目的为实现网络扫描,即探测网络中存活的主机,为了避免影响真实

    2024年02月11日
    浏览(15)
  • 记一次挖矿木马样本分析

    有一台vps被弱口令上马了 翻来翻去 找到个二进制文件如下 搜main函数可以判断是用shc加密shell脚本生成的二进制文件 在0000000000400F7E位置函数,找到了加载shell命令的位置 shc部分源码 尝试生成一个echo “helloworld”,看看shc生成的文件是什么构造 安装shc 加密后会得到一

    2024年01月25日
    浏览(11)
  • 亚信安全捕获银狐木马控制端样本,揭晓最新发现

    近日,亚信安全威胁情报中心获取到银狐远控样本,通过远控端生成一个Payload并对Payload进行分析,还原了银狐组织攻击的完整过程。建议相关用户部署全面防病毒产品,积极采取相关措施。 攻击者总是会将钓鱼页面部署在个人服务器上,然后通过传播恶意链接将受害者引导

    2024年02月03日
    浏览(10)
  • 【内网安全】——CS操作指南(一)

    作者名:白昼安全 主页面链接: 主页传送门 创作初心: 一切为了她 座右铭: 不要让时代的悲哀成为你的悲哀 专研方向: web安全,后渗透技术 每日emo: 再让我多赚一点——《血战网安岭》 CS 是Cobalt Strike的简称,是一款渗透测试神器,常被业界人称为CS神器。Cobalt Strike已

    2024年01月23日
    浏览(10)
  • 【内网安全】——CS操作指南(二)

    作者名:白昼安全 主页面链接: 主页传送门 创作初心: 一切为了她 座右铭: 不要让时代的悲哀成为你的悲哀 专研方向: web安全,后渗透技术 每日emo: 关心和细节吗? 注意:我这里的cs讲解是以 汉化版本cs 来的,原版的可以对照一下位置,区别不大,cs三部曲第二部,讲

    2024年02月15日
    浏览(13)
  • 详解【计算机类&面试真题】军队文职考试——第8期:OSI的七层模型 | 数据通信的三种方式 | 通信网络的检查方法,附Python进行网络连通性检查、带宽测试、端口扫描、链路质量测试、安全性扫描

      不知道命运是什么,才知道什么是命运。———史铁生     🎯作者主页: 追光者♂🔥          🌸个人简介:   💖[1] 计算机专业硕士研究生💖   🌟[2] 2022年度博客之星人工智能领域TOP4🌟   🏅[3] 阿里云社区特邀专家博主🏅   🏆[4] CSDN-人工智能领域优质创作者🏆

    2024年01月25日
    浏览(17)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包