0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

CISA发布恶意软件分析报告,包含19个恶意文件的详细细节

如意 来源:FreeBuf 作者:Megannainai 2020-09-18 16:00 次阅读

当地时间9月15日,美国网络安全和基础设施安全局(CISA)发布了一份恶意软件分析报告(MAR),该报告详细介绍了19个恶意文件的细节,其中包含有关伊朗黑客使用的Web Shell的技术细节。

Web Shell是一种用典型的Web开发编程语言(例如ASP,PHP,JSP)编写的代码,攻击者将其植入Web服务器上以获得远程访问和代码执行。Web Shell让攻击者可以传递和执行JavaScript代码,这些代码可用于枚举目录,执行有效负载及泄露数据。

根据CISA的报告,来自匿名APT组织的伊朗黑客正在利用几个已知的Web Shell,对美国各地的IT,政府,医疗,金融和保险组织进行攻击。他们利用了Pulse Secure 虚拟专用网, Citrix ADC以及 F5’s BIG-IP ADC产品中的漏洞进行攻击,使用的恶意软件包括ChunkyTuna,Tiny和China Chopper。

几周前,有研究人员透露,这个伊朗APT组织名为“Pioneer Kitten”,又名 Fox Kitten或Parisite。该组织现在正试图通过将其已入侵的某些网络的访问权出售给其他黑客来获利。过去的几个月,他们一直在攻击虚拟专用网服务器。

此外,CISA专家也分析了程序数据(PDB)文件和二进制文件,这些文件已被识别为开源项目“ FRP”的编译版本。FRP可以使攻击者通过隧道,将各种类型的连接建立到目标网络范围之外的远程操作员。该报告还分析了作为KeeThief开源项目一部分的PowerShell 脚本,该脚本可让攻击者访问Microsoft“ KeePass”密码管理软件存储的加密密码凭据。

攻击者利用了这些恶意工具来维护持久的远程访问,并从受害者的网络中泄漏数据。他们可能已经使用了“ FRP”实用程序来建立出站远程桌面协议(RDP)会话的隧道,以支持从防火墙外对网络进行持久访问。

该报告还详细介绍了另外7个文件,其中包含用作恶意Web Shell的恶意超文本预处理器(PHP)代码,被标识为ChunkyTuna和Tiny Web Shell。这两个Web Shell均可接受远程命令和数据,所以操作者可以远程控制受感染的系统。
责编AJX

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 软件
    +关注

    关注

    69

    文章

    4770

    浏览量

    87156
  • 网络安全
    +关注

    关注

    10

    文章

    3126

    浏览量

    59595
  • 文件
    +关注

    关注

    1

    文章

    561

    浏览量

    24695
收藏 人收藏

    评论

    相关推荐

    国联易安:“三绝招”,让恶意代码辅助检测“稳准快全”

    随着黑客攻击技术的演变,恶意程序检测技术也得到了较快的发展。恶意代码/程序通常包括特洛伊木马、计算机病毒、蠕虫程序以及其他各种流氓软件等。其技术发展极其迅速,且隐蔽性较强,有些甚至能破坏常见杀毒引擎
    的头像 发表于 11-22 15:47 82次阅读

    国联易安:“七项技术”,让恶意代码辅助检测“更智能”

    案例,恶意程序的技术发展及其迅速,且隐蔽性较强,有些甚至能破坏常见杀毒引擎而绕过检测,而传统病毒防护系统对很多木马等恶意程序无法准确检测,专业化反木马的研究己成为信息安全保密领域的一新的课题。 基于以上原因,国
    的头像 发表于 11-18 15:53 88次阅读

    国联易安:“三管齐下”,恶意代码辅助检测“更高效”

    国内专注于保密与非密领域的分级保护、等级保护、业务连续性安全和大数据安全产品解决方案与相关技术研究开发的领军企业——国联易安研究团队在 长期对木马、病毒等恶意代码行为进行监测、分析、研究的基础上
    的头像 发表于 11-12 12:03 129次阅读

    警告!恶意域名疯狂外联,原因竟然是……

    引起的恶意域名外联事件。(因客户信息保密且为了保证文章逻辑完整性,部分截图为后期追加图) 事件分析   一看域名地址donate.v2.xmrig.com,xmrig这不门罗币的矿池地址吗,看来是挖矿事件,从DTA上的告警时间
    的头像 发表于 06-26 10:53 595次阅读
    警告!<b class='flag-5'>恶意</b>域名疯狂外联,原因竟然是……

    Sentinel One数据:今年1-5月针对苹果macOS系统的恶意软件数量占比

    其中,勒索软件、木马以及后门程序依旧占较大比重。值得注意的是,近期愈发猖獗的恶意软件为Atomic Stealer(AMOS),其能从多种浏览器获取iCloud Keychain密码及其他敏感信息。
    的头像 发表于 05-20 10:30 451次阅读

    JFrog安全研究表明:Docker Hub遭受协同攻击,植入数百万恶意存储库

    JFrog 和 Docker 在近期发现Docker Hub 存储库被用于传播恶意软件和网络钓鱼诈骗后,联手采取缓解和清理措施。 作者:安全研究员AndreyPolkovnichenko | 恶意
    的头像 发表于 05-14 16:13 885次阅读
    JFrog安全研究表明:Docker Hub遭受协同攻击,植入数百万<b class='flag-5'>恶意</b>存储库

    Zscaler揭秘“模块化设计”恶意载入器:可逃过检测并注入脚本

    据了解,此类加载器有能力绕过UAC防护,将黑客恶意软件纳入Microsoft Defender白名单,并支持进程空洞、管道触发激活及进程分身等多种策略。此外,它还具备额外的脱钩技术。
    的头像 发表于 05-10 15:14 477次阅读

    恶意代码辅助检测系统:“降低、保障、智能”缺一不可

         国内专注于保密与非密领域的分级保护、等级保护、业务连续性安全和大数据安全产品解决方案与相关技术研究开发的领军企业——国联易安研究团队在长期对木马、病毒等恶意代码行为进行监测、分析、研究
    的头像 发表于 03-28 16:15 467次阅读

    全球数千台路由器及物联网设备遭&quot;TheMoon&quot;恶意软件感染

    3月初发现此恶意活动后,经观察,短短72小时已有6000台华硕路由器被盯梢。黑客运用IcedID、Solarmarker等恶意软件,透过代理僵尸网络掩饰其线上行为。此次行动中,TheMoon在一周内入侵设备超过7000台,尤其锁
    的头像 发表于 03-27 14:58 438次阅读

    谷歌SGE生成搜索引擎存在恶意网站推荐问题

    BleepingComputer研究发现,谷歌SGE所推荐的上线网站大多选用.online顶级域名,经过层层重定向后,用户最终可能遭遇诈骗或恶意网页。
    的头像 发表于 03-26 13:59 343次阅读

    准确识别APT,选对恶意代码检测系统最重要

    通过APT检测出已知和未知恶意代码,提高网络安全主动防御能力,是网络安全解决方案中需要重视的地方。然而,目前业界普通的恶意代码检测系统难以准确识别APT,给政府、企事业单位的安全防护工作带来了极大困惑。
    的头像 发表于 03-12 16:03 392次阅读

    Guardio Labs揭秘SubdoMailing网络攻击活动:每日发送数百万封恶意邮件

    Nati Tal与Oleg Zaytsev两位学者分析发现,攻击者正是借助他们所劫持得到的这些域名来广泛发送含有恶意链接的电子邮件,以此进行非法广告收益。该恶意链接的下拉菜单设计了按钮,用户随手一点便会不知不觉地完成一连串的重定
    的头像 发表于 02-28 14:47 638次阅读

    隐蔽性极强的新版Atomic Stealer恶意软件威力惊人

    新Atomic Stealer其主要功能是用Python脚本和Apple Script实现对使用者敏感文件的收集,该特征类似被报道过的RustDoor恶意软件。两种Apple Script均注重获取机密
    的头像 发表于 02-28 11:03 633次阅读

    u盘空间变小怎么恢复空间?

    的问题。本文将详细探讨U盘空间缩小的原因以及如何恢复U盘空间,以帮助用户解决这一问题。 一、U盘空间缩小的原因: 1.遭受病毒或恶意软件攻击: 病毒或恶意
    的头像 发表于 12-11 15:31 1438次阅读

    BlackBerry《季度全球威胁情报报告》显示新型恶意软件攻击活动激增 70%

    :BB)于今日发布了其最新的《季度全球威胁情报报告》,展示了 BlackBerry 人工智能赋能的网络安全解决方案遇到的新型恶意软件激增了 70%。每分钟的网络攻击达 26 次,这表明
    的头像 发表于 11-29 07:19 483次阅读