存档

文章标签 ‘后门’

ByeBye Shell——针对巴基斯坦的网络间谍战

2013年10月14日 1 条评论

 原文:http://community.rapid7.com/community/infosec/blog/2013/08/19/byebye-and-the-targeting-of-pakistan

翻译:封畅

亚洲和南亚就像一个黑客表演的舞台,每天都在邻国之间上演着无数的黑客攻击和网络间谍的斗争。最近我又发现了一个例子,一个从今年年初就开始活跃的黑客行动,针对的目标主要是巴基斯坦。

在这篇文章中,我们会分析这次攻击的实质,攻击中用到的后门的功能(这个后门我给它起名叫ByeBye Shell),以及我和幕后黑客短暂的交手过程。

系统感染

在这个行动中并没有利用什么漏洞——攻击者大概仅仅依赖了社会工程学方法,通过精心伪装的邮件传播后门。

这个恶意软件第一次出现在受害者面前时是一个.scr文件。有时攻击者会使用LRO Unicode字符来将.exe文件伪装成其他更可信的文件。(译者注:RLO是微软的中东Unicode字符中的一个,其作用是强制其后的字符变为从右到左的方式显示,例如本來“setup-txt.exe”这样的文件名,在txt前面插入RLO控制字符之后变成“setup-exe.txt”。)

一旦这个文件被执行,它就会在一个%Temp%的子文件夹中释放并执行一个批处理脚本,内容如下:

@ echo off  
@ start "IEXPLORE.E[......]

阅读全文

系统潜入后门分析

2013年8月5日 没有评论

原文:http://www.lastline.com/analysis-of-an-evasive-backdoor

翻译:周耀平

初始传染手段 – Nuclear Pack

已经有一些其他的文章介绍过Nuclear Pack破解工具包。可能它还不像g10pack或者BlackHole这些工具那么流行,也没有像CoolEK或者Phoenix工具有那么多的破解功能,但仍然可以看到它的价值。

Nuclear Pack因使用了重定向层次结构以及在传递恶意代码前检查用户活动而被人所熟知。另外,众所周知它被不同的犯罪分子用于分发各种恶意软件,而其中大多数是犯罪软件。在这篇文章里,我们详细介绍了一个特殊的事件,在这个事件里一个客户受到Nuclear Pack入侵系统的攻击。

Nuclear Pack的工作原理如下:

图片1

  1. 受害者访问Nuclear Pack入侵系统的初始登录页面,JavaScript程序检测其鼠标的移动;

  2. 受害者被重定向到JavaScript程序,由其决策哪个入侵系统对受害者进行攻击;

  3. JavaScript程序重定向受害者到合适的入侵系统,提供参数解码URL供漏洞有效负载取回;

  4. 入侵软件在受害者机器上运行,为有效负载解码URL;

  5. [……]

阅读全文

分类: Win安全, 恶意软件 标签: ,