技术分析
在最新的样本中对以往的IPC爆破、MSSQL爆破预设了两套PowerShell指令,可以分别针对内网IP和外网IP单独配置攻击方式。
图:内网与外网入侵命令行
调整端口扫描函数, 将内网IP与外网IP区分管理图:IP地址区分
在过去版本中一直以BASE64编码内嵌在代码中的Mimikatz被放入通过下载获得的mimi.dat文件中,大大减小了PowerShell脚本的体积
图:增加mimi.dat文件
从URL hxxp://down.ackng.com/wf.cab 下载压缩包到临时目录下,并调用expand命令执行解包操作
图:下载压缩包并解压缩
解包后的文件内容如下,其中wfreerdp.exe是一款远程桌面的连接工具, 通过它可以登录到开放3389端口的主机中。
图:wf.cab解压后的文件
Mimi.dat中存放着BASE64编码后的Mimikatz
图:mimi.dat文件
内嵌C#代码调用之前下载下来的FreeRDP实现RDP登录功能,首先通过check函数构造FreeRDP工具的参数:False仅做身份验证,用于字典爆破时使用。True为RDP登录,在验证成功后登录使用。
图:RDP登录
在RDP登录成功后,模拟键盘执行组合键Ctrl+ESC打开开始菜单,并输入命令行附加参数执行PowerShell
图:模拟键盘输入
执行效果如下图所示:
图:组合键使用效果
PowserShell命令执行的操作便是从 hxxp://t.zer2.com/rdp.jsp 下载脚本并执行通过使用弱口令密码字典进行RDP爆破。在连接成功后,在目标主机下执行打开命令行执行PowerShell下载rdp.jsp
图:下载rdp.jsp
rdp.jsp的内容经解密后与之前的eb.jsp、ipc.jsp类似,仅修改了头部用于确认传播方式的变量。
图:rdp.jsp内容
IOCMD5:3724CF5403F6A1C2B51D2190085EF813
415AAE4F26158A16F2D6A5896B36E2A8
9C6DE4EBB298F145F7F0D1DE8CE615F1
URL:t.zer2.com/rbp.jsp
down.ackng.com/wf.cab