• 别克君越优惠3万元 商务范的选择 2019-06-19
  • 国家发改委:粤港澳大湾区规划纲要很快就会出台 2019-06-19
  • 王安忆:女人爱男人,往往只是为实现自己爱情的理想 2019-06-17
  • 世界献血者日 近距离接触一袋合格血的成长历程 2019-06-17
  • 对话内地宫颈癌九价疫苗首批接种者:26岁姑娘最着急 2019-06-10
  • 孕妇可以吹空调吗?安全须知要牢记 2019-06-09
  • 中民投董事局执行副主席李银珩获第十二届人民企业社会责任奖年度人物奖 2019-06-09
  • 北京市委原常委、市政府原副市长刘坚夫同志逝世 2019-06-08
  • 全世界人民都要顺应人类社会发展规律,不断扩大社会财富公有制的范围,不断缩小社会财富私有制的范围,以便最终消灭社会财富私有制,建立共产主义社会财富公有制。 2019-06-08
  • 压倒性态势是如何形成的——党的十八大以来反腐倡廉工作综述 2019-06-07
  • 湖州德清东衡村:产村融合助振兴 2019-06-07
  • 印总理寓所附近现UFO相关新闻 2019-06-06
  • 霸气!江西现强势发展后劲,凭的是什么? 2019-06-05
  • 闪崩股有点多!每个背后都有个质押爆仓的惊心故事,这51股质押比例超60% 2019-06-04
  • 燕赵晚报:旅行成毕业标配值得肯定 2019-06-04
  • Backswing——从帽子中拉出一只“坏兔子” - 行业资讯 - 广州科明大同科技有限公司丨20多年网络安全解决方案经验

    五子棋攻略图解:行业资讯

    Backswing——从帽子中拉出一只“坏兔子”

    儿童五子棋基础入门 www.uzdsr.tw 点击数:14042017-10-30 17:01:57 来源:广州科明大同科技有限公司丨20多年网络安全解决方案经验

    新闻摘要:2017年10月24日,协调的战略网络妥协开始向不知情的用户分发BADRABBIT ransomware。FireEye设备检测到下载尝试,并阻止我们的用户群感染。在我们调查此活动期间,FireEye发现BADRABBIT重定向站点和托管我们一直跟踪的分析器的站点之间的直接重叠BACKSWING。我们已经确定了51个站点托管BACKSWING和4个确认删除BADRABBIT。在整个2017年,我们观察到两个版本的BACKSWING,并在5月份大幅增加,显然侧重于妥协乌克兰网站。部署模式提出了具有特定区域利

    执行摘要

    2017年10月24日,协调的战略网络妥协开始向不知情的用户分发BADRABBIT ransomware。FireEye设备检测到下载尝试,并阻止我们的用户群感染。

    在我们调查此活动期间,FireEye发现BADRABBIT重定向站点和托管我们一直跟踪的分析器的站点之间的直接重叠BACKSWING。

    我们已经确定了51个站点托管BACKSWING和4个确认删除BADRABBIT。在整个2017年,我们观察到两个版本的BACKSWING,

    并在5月份大幅增加,显然侧重于妥协乌克兰网站。部署模式提出了具有特定区域利益的战略赞助者的可能性,并提出除经济利益之外的动机。

    鉴于许多领域仍然受到BACKSWING的影响,

    事件背景

    FireEye从10月24日UTC 08:00开始,检测到并阻止了通过下载伪装为Flash Update(install_flash_player.exe)来传播多个客户端的尝试,

    该版本提供了可篡改的ransomware变体。用户同时从多个合法站点(例如http://www.mediaport [。] ua / sites / default / files / page-main.js)

    重定向到受感染站点,表明协调一致且广泛的战略网络妥协活动。

    FireEye网络设备阻止了主要在德国,日本和美国的十几个受害者的感染尝试,直到10月24日UTC UTC时间15:00,感染尝试停止并且攻击者基础设施

     - 包括1dnscontrol [。] com和合法网站流氓代码 - 被离线。

    BACKSWING框架可能连接到BADRABBIT活动

    战略网络妥协可以有大量的抵押品定位。威胁演员通常将策略性网络妥协与分析恶意软件配对,以针对具体应用程序版本或受害者的系统。

    FireEye观察到,BACKSWING是一个恶意的JavaScript分析框架,已被部署到至少54个合法站点,早在2016年9月开始。

    其中一小部分后来被用于重定向到BADRABBIT分发URL。

    FireEye iSIGHT Intelligence跟踪包含相同功能的两个不同版本的BACKSWING,但其代码样式不同。我们认为BACKSWING是

    用于选择当前浏览会话(User-Agent,HTTP Referrer,Cookies和当前域)的属性的通用容器。然后,该信息被中继到“C2”,

    有时被称为“接收器”。如果接收器处于联机状态,则服务器向调用者返回唯一的JSON blob,然后由BACKSWING代码解析(图1)。


    图1:BACKSWING回复

    BACKSWING预期JSON Blob有两个字段,“InjectionType”(预期是一个整数)和“InjectionString”(预期是包含HTML内容的字符串)。

    BACKSWING版本1(图2)将“InjectionType”的值显式处理为两个代码路径:

    • 如果InjectionType == 1(将浏览器重定向到URL)
    • 如果InjectionType!= 1(将HTML渲染到DOM中)


    图2:后退版本1

    在版本2(图3)中,BACKSWING保留类似的逻辑,但是将要严格处理的InjectionString进行泛化,以将回复呈现给DOM。



    图3:BACKSWING版本2

    版本1:

    • FireEye在2016年晚些时候观察了属于捷克共和国酒店组织的网站的第一版BACKSWING以及黑山的政府网站。
    • 土耳其旅游网站也注入了这个分析器。
    • BACKSWING v1通常以明文方式注入受影响的网站,但随着时间的推移,演员开始使用开源的Dean-Edwards Packer对代码进行模糊处理,
    • 并将其注入受影响网站上的合法JavaScript资源。图4显示了注射含量。
    • 从2017年5月开始,FireEye观察到一些乌克兰网站受到BACKSWING v1的影响,2017年6月开始看到BACKSWING接收机返回的内容。
    • 在2017年6月底,BACKSWING服务器返回了一个具有两个不同标识符的HTML div元素。当解码时,BACKSWING v1在DOM中嵌入两个div元素,
    • 值为07a06a96-3345-43f2-afe1-2a70d951f50a和9b142ec2-1fdb-4790-b48c-ffdf22911104。在这些答复中没有观察到额外的内容。


    图4:BACKSWING注射内容

    版本2:

    • FireEye观察到BACKSWING v2的最早期是在2017年10月5日发生在以前托管BACKSWING v1的多个网站上
    • BACKSWING v2主要注入受影响网站上托管的合法JavaScript资源; 然而,一些实例被注入到站点的主页中
    • FireEye观察到有限的托管此版本的网站的实例也涉及可疑的BADRABBIT感染链(详见表1)。

    恶意分析器允许攻击者在部署有效负载(在这种情况下,BADRABBIT“闪存更新”卸载程序)之前获取有关潜在受害者的更多信息。

    虽然FireEye还没有直接观察到BACKSWING提供BADRABBIT,但是在多个网站上观察到BACKSWING被视为将FireEye客户引用到托管BADRABBIT滴管的1dnscontrol [。] com。 

    表1突出显示了还用作BADRABBIT有效载荷分发的HTTP引用的BackSWING的合法站点。

    妥协网站

    BACKSWING接收器

    BACKSWING版本

    观察到BADRABBIT重定向

    blog.fontanka [。] RU

    不可用

    不可用

    1dnscontrol [。] COM

    www.aica.co [。] JP

    HTTP:[。] //185.149.120 3 / scholargoogle /

    V2

    1dnscontrol [。] COM

    www.fontanka [。] RU

    HTTP:[。] //185.149.120 3 / scholargoogle /

    V2

    1dnscontrol [。] COM

    www.mediaport [。] UA

    HTTP:[。] //172.97.69 79 / I /

    V1

    1dnscontrol [。] COM

    www.mediaport [。] UA

    HTTP:[。] //185.149.120 3 / scholargoogle /

    V2

    1dnscontrol [。] COM

    www.smetkoplan [。] COM

    HTTP:[。] //172.97.69 79 / I /

    V1

    1dnscontrol [。] COM

    www.smetkoplan [。] COM

    HTTP://38.84.134 15 /核心/发动机/索引/默认的[。]

    V1

    1dnscontrol [。] COM

    www.smetkoplan [。] COM

    HTTP:[。] //185.149.120 3 / scholargoogle /

    V2

    1dnscontrol [。] COM

    表1:托管BACKSWING分析程序和重定向用户到BADRABBIT下载站点的站点

    表1中列出的受损网站显示了我们观察到BACKSWING的潜在武器化的第一次。FireEye正在跟踪越来越多的合法网站,

    同时也支持BACKSWING,强调演员可以在将来的攻击中利用相当大的足迹。表2提供了也受到BACKSWING损害的站点列表

    妥协网站

    BACKSWING接收器

    BACKSWING版本

    akvadom.kiev [。] UA

    HTTP:[。] //172.97.69 79 / I /

    V1

    bahmut.com [。] UA

    HTTP:[。] // dfkiueswbgfreiwfsd TK / I /

    V1

    bitte.net [。] UA

    HTTP:[。] //172.97.69 79 / I /

    V1

    余文请参考:https://www.fireeye.com/blog/threat-research/2017/10/backswing-pulling-a-badrabbit-out-of-a-hat.html

    【责任编辑:FireEye】(Top) 返回页面顶端
    分享到:
    0

    QQ联系

    • FireEye       QQ
    • Sophos      QQ
    • 售后服务     QQ
  • 别克君越优惠3万元 商务范的选择 2019-06-19
  • 国家发改委:粤港澳大湾区规划纲要很快就会出台 2019-06-19
  • 王安忆:女人爱男人,往往只是为实现自己爱情的理想 2019-06-17
  • 世界献血者日 近距离接触一袋合格血的成长历程 2019-06-17
  • 对话内地宫颈癌九价疫苗首批接种者:26岁姑娘最着急 2019-06-10
  • 孕妇可以吹空调吗?安全须知要牢记 2019-06-09
  • 中民投董事局执行副主席李银珩获第十二届人民企业社会责任奖年度人物奖 2019-06-09
  • 北京市委原常委、市政府原副市长刘坚夫同志逝世 2019-06-08
  • 全世界人民都要顺应人类社会发展规律,不断扩大社会财富公有制的范围,不断缩小社会财富私有制的范围,以便最终消灭社会财富私有制,建立共产主义社会财富公有制。 2019-06-08
  • 压倒性态势是如何形成的——党的十八大以来反腐倡廉工作综述 2019-06-07
  • 湖州德清东衡村:产村融合助振兴 2019-06-07
  • 印总理寓所附近现UFO相关新闻 2019-06-06
  • 霸气!江西现强势发展后劲,凭的是什么? 2019-06-05
  • 闪崩股有点多!每个背后都有个质押爆仓的惊心故事,这51股质押比例超60% 2019-06-04
  • 燕赵晚报:旅行成毕业标配值得肯定 2019-06-04
  • 冒险岛伴侣 曼联足球服 罗马方阵 31选7开奖号码走势图 莱加内斯Vs莱万特 内蒙古时时彩开奖记录 冰球突破辅助 快乐十分钟开奖结果 布莱顿prime怎么获得 沃尔夫斯堡vs美因茨