基于Python实现的Koadic恶意软件分析Part 1

我在一次偶尔的时机中懂得了Koadic这款对象,于是我抉择制作一个“javascript rundll32 exploit”的关键字组合,看看会呈现什么。以是我开始了Koadic后期开拓rootkit之路,进修Koadic可以参考Sean Dillon和Zach Harding在Defcon上的演示。Koadic类似于PowerShell Empire,拥有基于脚本的stager和植入设备功能。然而,关键的差别在于,Koadic依附于受害者谋略机上的JavaScript和VBScript。但如今安然团队加倍关注在Windows事故日志中探求不平常的PS活动。我想这可以称为JavaScript Empire。

开始

在这篇文章中,我们将对Koadic的能力和架构做一个简单的先容。Koadic有一个特征便是容许进击者能够随时变动代码,来迅速适应新的情况。稍后我将在本系列文章中评论争论这个问题,然则很显着,您必要将留意力从Windows事故日志转移到底层文件系统上。首先,我们在AWS情况中的一个Ubuntu实例上安装了Github上的软件。我们碰到了一些艰苦,但这很快就被办理了——从新安装了Koadic的Python模块。是的,Koadic的办事器端都是基于python的。为了完成事情,Koadic使用了Windows二进制代码,这些二进制代码会偷偷地引入远程JavaScript或VBScript。让我们假设mshta stager(测试中应用的stager)是经由过程钓鱼邮件发送给受害者的。一旦激活,Koadic就会创造出“zombie”。这是他们对受害者机械的节制要领。

在一个实际的笔试场景中,第一个义务便是要办理who和where问题。输入“info”敕令来查看基础参数是什么,然后响应地设置它们。

第二步

一旦掌握了根基常识,就可以赞助您发明您所应用的Windows情况的完备限制域名(FQDN)。正如我们将看到的,您将必要域名脱离最初被黑客入侵的谋略机。为此,我必要经由过程将cmd参数设置为GetHostByName($ env:computerName)来应用PowerShell。它是一个良性的PS cmdlet。

简而言之:Koadic内置支持获取紧张的情况信息,当然还有运行shell敕令填补空缺的能力。顺便说一下,可以在Github 主页上找到所有敕令的描述。

第三步

除非黑客命运运限爆炸,登岸的办事器上稀有百万个未加密的信用卡号码,否则她必要跳到另一台谋略机上。这样做的措施是获取域级凭证,终极找到具有提升权限的凭证,然后履行横向渗透。曾几何时,我写过若何应用mimikatz和psexec这样做。Koadic已经供给了一个基于mimikatz来从SAM存储器中检索凭据,另一个用于支持psexec。小提示:您必须将psexec可履行文件显式上传到受害者的谋略机并设置路径名称。例如,要检索凭据,我运行了implant/inject/mimikatz_dynwrapx:

您可以看到NTLM哈希,假如必要,您可以离线破解。然则您还可以使用wdigest安然破绽,得到纯文本密码。我不会在这篇文章中展示若何进行实际的横向移动,但您可以鄙人面看到implant/pivot/psexec below的设置:

着末的话

下次我将先容若何创建一群僵尸收集。敬请等候!

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包