勒索软件即服务(RaaS)犯罪团伙大起底
|
拷贝数据:(假如是你完全新安装mysql主从服务器,这个一步就不需要。因为新安装的master和slave有相同的数据) 关停Master服务器,将Master中的数据拷贝到B服务器中,使得Master和slave中的数据同步,并且确保在全部设置操作结束前,禁止在Master和slave服务器中进行写操作,使得两数据库中的数据一定要相同! 配置master
接下来对master进行配置,包括打开二进制日志,指定唯一的servr ID。例如,在配置文件加入如下值: 关于这个活动的另一件有趣的事情是,下载的组件在代码级别上组织得非常好。这些下载的组件也有主要函数和变量的注释格式的使用说明。因此,此行为可能表明,此代码不仅供其开发者使用,还可供其他人作为服务或独立对象使用。 总结 恶意程序的感染包括以恶意Excel文件开始的多个阶段,如果用户启用了宏以打开Excel文件,则VBA AutoOpen宏将删除并通过合法的可移植AHK脚本编译程序执行下载程序客户端脚本。下载程序客户端负责实现持久性,分析受害人以及在受害人系统中下载并执行AHK脚本。该恶意程序没有从C&C服务器接收命令,而是下载并执行AHK脚本来执行不同的任务。下载的脚本是针对各种浏览器(例如Google Chrome,Opera,Edge等)的Credential Stealer。Credential Stealer从浏览器收集和解密凭据,然后通过HTTP POST请求将信息泄漏到攻击者的服务器。 事实上,通过在受害者的操作系统中使用一种缺乏内置编译程序的脚本语言,加载恶意组件以分别完成各种任务以及频繁更改C&C服务器,攻击者已经能够从沙盒中隐藏其意图。
IOCs 重要的是要注意,在其他一些变体中,“-xl2”被替换为“-pro”。在adb.ahk执行下载的AHK脚本之前,它首先检查文件的末尾是否存在特定字符(“〜”)。如果找到该字符,则继续执行。
此外,该恶意程序还会在启动文件夹中创建一个自动运行链接,该链接指向名为“GraphicsPerfSvc.lnk”的adb.exe AHK脚本编译程序。如前所述,默认情况下,编译程序执行具有相同名称和目录的AHK脚本。 在12月中旬,研究人员发现了一个传播Credential Stealer的活动。研究人员还了解到,该活动的主要代码部分是使用AHK编写的。通过跟踪活动的组成部分,研究人员发现其活动始于2020年初。恶意程序感染包括多个阶段,这些阶段从恶意Excel文件开始。反过来,此文件包含AHK脚本编译程序可执行文件,恶意的AHK脚本文件和Visual Basic for Applications(VBA)AutoOpen宏。完整的攻击链如图1所示。研究人员的遥测技术跟踪了恶意程序的命令和控制(C&C)服务器,并确定这些服务器来自美国、荷兰和瑞典。研究人员还了解到,该恶意程序一直将攻击目标针对美国和加拿大的金融机构。 删除的adb.exe和adb.ahk在此感染中起到了关键作用,adb.exe是合法的可移植AHK脚本编译程序,其工作是在给定路径下编译和执行AHK脚本。默认情况下(不带参数),此可执行文件在同一目录中执行具有相同名称的脚本。被删除的AHK脚本是一个下载程序客户端,负责实现持久性,分析受害者,下载和执行受害者系统上的AHK脚本。 为了保持持久性,下载程序客户端会在启动文件夹中为adb.exe创建一个自动运行链接,该可移植编译程序用于编译和执行AHK脚本。默认情况下(不带任何传递参数),此可执行文件在同一目录(本例中为adb.ahk)中执行具有相同名称的AHK脚本。 该脚本通过基于C驱动器的卷序列号为每个受害者生成唯一的ID来对每个用户进行配置。然后,该恶意程序将经历无限循环,并开始每五秒钟发送一次带有生成ID的HTTP GET请求。此ID用作其命令和控制(C&C)服务器的请求路径,以在受感染的系统上检索和执行AHK脚本。
为了执行命令,该恶意程序接受每个受害者不同任务的各种AHK脚本,并使用相同的C&C URL执行这些脚本,而不是在一个文件中实现所有模块并接受执行命令的命令。通过这样做,攻击者可以决定上传特定脚本以实现针对每个用户或用户组的自定义任务。这也可以防止主要组件被公开,特别是向其他研究人员或沙盒公开。实际上,尽管研究人员注意到这种攻击早在2020年初就开始了,但沙箱仍未发现任何命令。这表明,攻击要么选择何时将命令实际发送到受感染的受害者计算机,要么C&C服务器的快速变化使其难以跟踪。到目前为止,研究人员发现了五台C&C服务器和仅两个命令:deletecookies 和passwords。 (编辑:信阳站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
