部署为Windows加「jia」载器【qi】的Linux可执行软件

UG官网下载www.ugbet.us)开放环球UG代理登录网址、会员登录网址、环球UG会员注册、环球UG代理开户申请、环球UG电脑客户端、环球UG手机版下载等业务。

Black Lotus平安研究职员近期发现多个Python语言编写的恶意文件,并编译为 Debian 操作系统的Linux二进制文件花样ELF。这些文件会以加载器运行payload,payload要么嵌入在样本中或从远程服务器中提取,然后使用Windows API挪用注入到运行的历程中。

简介

2021年8月,Black Lotus研究职员发现了大量为Debian Linux编译的可疑ELF文件。文件是用Python 3编写的,然后用PyInstaller转变为ELF可执行文件。Python代码作为使用差异Windows API的加载器,Windows API可疑提取远程文件,然后注入运行的历程。从 VirusTotal 的检测率来看,大多数为Windows系统设计的终端署理无法有用剖析ELF署名。在观察中,研究职员发现了2个ELF加载器方式的变种:第一个是用Python编写的,第二个表中使用ctype来挪用差其余Windows API和挪用powershell剧本。研究职员剖析以为该PowerShell变种仍在开发中。

手艺细节

从2021年5月到2021年8月这3个月内,研究职员发现样本的进化历程,从最初的Python 3编写的样本到使用ctype来挪用Windows API,再到使用PowerShell来宿主机械上执行随后的动作。

Python变种

使用Python编写的变种并不使用任何Windows API。其中一个特征是加载器使用变种的Python库,使得其可以在Linux和Windows机械上运行。研究职员剖析样本发现剧本会打印“Пивет Саня”,打印的内容是俄语文字翻译过来就是“Hello Sanya”。所有的相关的文件都含有隐私或者非路由的IP地址,除了一个样本。该样本中含有公共IP地址185.63.90[.]137和一个Python编写的加载器文件,这些文件随后会被转化为可执行文件。该文件首先实验从机械分配内容,然后确立一个新的历程,并注入位于hxxp://185.63.90[.]137:1338/stagers/l5l.py的远程服务器的资源。现在,该服务器已经无法接见,解释该地址是用于测试或之前的攻击流动。

研究职员发现许多恶意流动都与统一IP地址185.63.90[.]137举行通讯,样本中都含有Meterpreter payload,其中部门使用Shikata Ga Nai编码器混淆。

使用PowerShell和Ctype的WSL变种

差异文件的ELF到Windows二进制文件执行路径是差其余。在部门样本中,PowerShell 用于注入和执行shellcode,在其他样本中,Python  ctype被用来剖析Windows API。

皇冠信用盘开户www.huangguan.us)是皇冠信用盘官方正网线上开放会员开户、代理开户,额度自动充值等业务的直营平台。
皇冠正网 部署为Windows加「jia」载器【qi】的Linux可执行软件 技术 第1张

在其中一个PowerShell样本中,编译的Python会挪用3个函数: kill_av()、reverseshell() 和 windowspersistance()。


图1: 反编译的decompiled kill_av和windowspersistence函数

kill_av()函数会使用 os.popen()实验kill调可疑的反病毒产物和剖析攻击。 reverseshell() 函数使用子历程每20秒性一个base64编码的PowerShell 剧本,阻挡其他函数的执行。windowspersistence() 函数会复制原始ELF文件到appdata 文件夹,命名为payload.exe并使用子历程来加入注册表以实现驻留。在上图中,windowspersistance()会用字符串“TIME TO Presist”被挪用。


图2: reverseshell 和 kill_av函数

解码的PowerShell使用GetDelegateForFunctionPointer来挪用VirtualAlloc,复制MSFVenom payload到分配的内存,并使用GetDelegateForFuctionPointer来在分配的含有payload的内存中挪用CreateThread 。

图3:注入和挪用MSFVenom payload的PowerShell剧本

另一个使用样本使用Python ctype来剖析Windows API来注入和挪用payload。在剖析历程中,研究职员发现一些小的不延续,好比变量类型。研究职员预测代码仍在开发中,但可能即将竣事。


图4: 使用Python ctypes的分混淆的代码

本文翻译自:https://blog.lumen.com/no-longer-just-theory-black-lotus-labs-uncovers-linux-executables-deployed-as-stealth-windows-loaders/

环球ug代理开户www.ugbet.us)开放环球UG代理登录网址、会员登录网址、环球UG会员注册、环球UG代理开户申请、环球UG电脑客户端、环球UG手机版下载等业务。

  • 评论列表:
  •  U交所(www.usdt8.vip)
     发布于 2021-10-11 00:05:05  回复
  • 它是淡水鱼中的极品,孩子常吃头脑伶俐,却因刺多被嫌弃,惋惜了1111大爱

添加回复:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。