lummerstealer分析

最新推荐文章于 2025-05-28 18:53:37 发布
最新推荐文章于 2025-05-28 18:53:37 发布
阅读量251 收藏 9
点赞数 5
分类专栏: 技术分享 文章标签: 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2403_87755661/article/details/146916739
版权

autorun上看到一个3月15日新捕获的lummerstealer,简要分析一下

该样本有混淆,大致逻辑是将bss段的shellcode解密后,注入到MSBuild.exe中,所以着重分析一下shellcode,shellcode也被混淆了,功能大致分为3块

1.窃取应用数据信息

首先会连接C2,接收数据为加解密因子,内存中解出一份json数据

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

{"v":4,

"se":true,

"ad":false,

"vm":false,

"ex":[  //浏览器扩展

    {"en":"ejbalbakoplchlghecdalmeeeajnimhm","ez":"MetaMask"},

    {"en":"aeblfdkhhhdcdjpifhhbdiojplfjncoa","ez":"1Password"},

    {"en":"pioclpoplcdbaefihamjohnefbikjilc","ez":"Evernote"},

    {"en":"dngmlblcodfobpdpecaadgfbcggfjfnm","ez":"MultiversX Wallet"},

    {"en":"kppfdiipphfccemcignhifpjkapfbihd","ez":"ForniterWallet"}  ...

     

],

"mx":[

{"en":"webextension@metamask.io","ez":"MetaMask","et":"\"params\":{\"iterations\":600000}"}

],

"c":[  //查找应用与对应路径

{"t":0,"p":"%appdata%\\Ethereum","m":["keystore"],"z":"Wallets/Ethereum","d":1,"fs":20971520},

{"t":0,"p":"%appdata%\\Guarda\\IndexedDB","m":["*"],"z":"Wallets/Guarda","d":2,"fs":20971520},{"t":0,"p":"%appdata%\\WalletWasabi\\Client\\Wallets","m":["*"],"z":"Wallets/Wasabi","d":0,"fs":20971520},{"t":1,"p":"%localappdata%\\Google\\Chrome\\User Data","z":"Chrome","f":"Google Chrome","n":"chrome.exe","l":"chrome.dll"},{"t":1,"p":"%localappdata%\\Google\\Chrome Beta\\User Data","z":"Chrome Beta","f":"Google Chrome Beta","n":"chrome.exe","l":"chrome.dll"},{"t":1,"p":"%localappdata%\\Opera Software\\Opera Neon\\User Data","z":"Opera Neon"},{"t":1,"p":"%appdata%\\Opera Software\\Opera GX Stable","z":"Opera GX Stable","n":"opera.exe"},{"t":1,"p":"%localappdata%\\Microsoft\\Edge\\User Data","z":"Edge","f":"Microsoft Edge","n":"msedge.exe","l":"msedge.dll"}

    ...

]

}

解析后,按照json中,逐一遍历路径,如果存在目标文件,通过天堂之门(32位程序手动通过WOW64,执行64位系统调用)技术,查询文件信息,读取文件内容,然后经过一系列处理,发回C2。
其中WOW64系统调用时,传入的系统调用号可能是形如0x33(打开文件),0x11(查询文件信息)这种,也可能是0x1a0006(读取文件)、0x3000f(关闭句柄)这种,需要拆开来看,前16位,是给WOW64用的,wow64根据前16位,跳转到对应的系统调用处理函数。而后16位给内核用的,系统调用进入内核后,根据后16位,找到对应的服务描述符表,执行对应函数。

2.窃取浏览器cookie

shellcode会创建msedge.exe进程

1

"C:\Program Files(x86)\Microsoft\Edge\Application\msedge.exe" --profile-directory="Default" --remote-debugging-port=9223

利用远程调试的方式获取cookie信息

1

2

3

4

5

6

7

8

9

经过websocket握手后,shellcode会发送

{"id":1,"method":"Storage.getCookies"}

msedge会回复一系列cookie信息

{"id":1,"result":{"cookies":

    [

    {"name":"pglt-edgeChromium-dhp","value":"547","

    {"name":"_C_Auth","value":"","domain":"ntp.msn.

    {"name":"USRLOC","value":"","domain":".msn.cn",

                   ...

3.其他信息

例如硬件信息、杀软信息、用户名等计算机信息会通过WMI的select语句查询,
此外还会获取剪贴板、截屏等信息

C2:
pistolpra.bet
weaponwo.life
armamenti.world
selfdefens.bet
targett.top
caliberc.today
loadoutle.life

sha1: 4130B70A8300FB43C040726E3D02341639E323B7

软件开发MVC三层架构杂谈
小L的博客
05-24 1553
本文深入探讨了MVC(Model-View-Controller)架构及其在实际开发中的应用,特别是如何将Model层细分为Service层和DAO层,形成Controller、Service和DAO的三层架构。
【Redis】三、在springboot中应用redis
naihe_fish的博客
05-22 1042
本文介绍了如何在Spring Boot项目中集成Redis作为缓存中间件,以优化用户信息管理的性能。首先,通过引入redis依赖,配置Redis连接信息。接着,创建了一个用户管理模块,包括数据库表、实体类、控制器和服务层。在服务层中,通过RedisTemplate实现了缓存逻辑,优先从Redis中查询用户分数,若未命中则从MySQL数据库中获取并缓存到Redis中。最后,通过Postman测试接口,验证了Redis缓存的有效性,首次查询较慢,但后续查询速度显著提升。
黑马redis-实验篇2报错汇总
feiyinjiu的博客
05-23 344
1.Incompatible types. Found: 'java.lang.Long', required: 'java.lang.Integer' 将Integer count = query().eq("user_id", userId).eq("follow_user_id", followUserId).count();1.将所有的import javax.servlet.http.HttpServletRequest;不需要特意的找这些包,运行的时候看哪个报错就改哪个就行。
springboot--实战--大事件--用户接口开发
m0_73856804的博客
05-27 1565
定义了一种简洁的、自包含的格式,用于通信双方以JSON数据格式安全的传输信息。组成:第一部分:Header(头),记录令牌类型、签名算法等。例如,算法用于防篡改第二部分:Payload(有效载荷),携带一些自定义信息,默认信息。例如。而外在表示为一段无规律的64个可打印字符原因:借助base64编码方式(Base64:是一种基于64个可打印字符(A-Z a-z 0-9 + /)来表示二进制数据的编码方式)来完成,将json字符串变为64个可打印字符,
[特殊字符]使用 Hyperlane 实现 WebSocket广播
m0_52796585的博客
05-27 855
## 推荐几款学习编程的免费平台 ### 免费在线开发平台([https://docs.ltpp.vip/LTPP/](https://docs.ltpp.vip/LTPP/)) <blockquote> <p>        探索编程世界的新天地,为学生和开发者精心打造的编程平台,现已盛大开启!这个平台汇集了近4000道精心设计的编程题目,覆盖了C、C++、JavaScript、TypeScript、Go、Rust、PHP、Java、Ruby
第九章:数据库故障恢复
唐可盐的专栏
05-24 1095
 数据库恢复是指通过技术手段将因故障、误操作或损坏而丢失或不可用的数据库数据恢复到可用且一致状态的过程。其核心目标是保障数据的完整性、一致性和可用性,同时最小化恢复时间和成本。
LangChain4j 项目实战——idea快捷键搜索
modelmd的博客
05-25 589
LangChain4j 项目实战
PG技术分享
最新发布
岳麓丹枫
05-28 865
适当调小 vacuum_cost_delay (比如 2ms, 新版本默认就是 2ms,老版本值偏大,如果系统 IO 没问题, 可以设置为 0)如 buffers_backend 高于 buffers_clean,说明 bgwriter 工作不足。适当调大 vacuum_cost_limit (默认是 200, 可以调整为 2000)maintanance_work_mem: 可以适当调大, 需要考虑系统数据库连接数。shared_buffers: 一般专用数据库服务器, 建议25%;
JAVA:高并发下如何解决数据库性能瓶颈
木头
05-27 704
本文探讨了现代互联网应用中数据库成为性能瓶颈的问题及解决方案。常见瓶颈表现包括响应变慢、连接耗尽、死锁频发等,主要由频繁访问、写冲突、SQL不优化等原因导致。核心优化策略包括:使用Redis缓存热点数据、消息队列异步削峰、主从读写分离、分库分表、SQL与索引优化及限流降级。文章提出整体架构建议,强调通过缓存、异步处理、数据分片等手段提升数据库承压能力,并推荐建立完善的性能监控体系。这些基于Java技术栈的实践方案能有效解决高并发场景下的数据库性能问题。
Seata Server 1.6.1 快速部署全攻略:从安装到配置详解
甘蓝的专栏
05-24 175
本文将介绍如何快速安装和启动Seata Server 1.6.1版本,并解析其目录结构。主要内容包括:1)通过wget下载安装包并解压;2)使用启动脚本设置参数启动服务;3)访问7091端口控制台页面;4)重点目录解析,包括bin启动脚本、conf配置文件、scripts数据库脚本等;5)application.yml配置详解,包括端口设置、登录凭证、存储模式等。文章还提供了配置中心示例,帮助用户根据需求自定义配置。通过本文可快速上手Seata Server的基础部署与配置。
HAC集群(数据库包含自定义表空间),搭建流复制后启动集群服务出现备库日志号比主库多1的解决方法
HighGO
05-28 176
在手动pg_basebackup还原备库后,均需pg_ctl start手动启动数据库检查状态后,关闭数据库,再使用hac服务接管。主库含有自定义表空间,手动还原备库后直接启动hac,备库日志号比主库多1。手动还原备库后直接使用hac接管会导致备库日志号多1。3.启动hac后查询集群状态和流复制状态。2.备库创好对应路径进行还原。1.主库创建好自定义表空间。5.查看备库数据库日志报错。4.比较两库的日志号。
2025年渗透测试面试题总结-匿名[社招]安全工程师(红队方向)2(题目+回答)
soc的博客
05-23 1396
网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。
Qt 的简单示例 -- 地址簿
奔波尔灞
05-28 170
QMap、 QTableWidget、子窗口、弹窗等
PXC集群
水彩橘子
05-27 727
本文介绍在龙蜥OS 8.9系统上搭建Percona XtraDB Cluster(PXC)集群的详细步骤。环境配置包括3个PXC节点(pxc1/2/3)和3个ProxySQL节点,给出了各节点的硬件配置信息。安装过程分为关闭默认MySQL模块、安装YUM源、准备PXC环境、安装PXC软件包等步骤。重点说明了3个PXC节点的配置文件内容,包括服务器ID设置、集群名称、节点地址、SSL加密配置等关键参数。通过修改/etc/my.cnf配置文件实现集群搭建,各节点需保持一致的集群配置,同时确保server-id等
MD5加密(Java)
weixin_51118573的博客
05-24 380
本文针对数据库中明文存储密码的安全隐患,提出使用MD5加密的解决方案。首先将数据库中的密码替换为MD5加密后的密文,然后在Java代码中使用Spring Boot的DigestUtils工具类对用户提交的明文密码进行MD5加密(md5DigestAsHex方法),再与数据库中的密文进行比对。 MD5加密具有不可逆性,只能通过加密明文来验证密码,无法从密文还原出原始密码,从而提升了系统安全性。
MySQL数据库初体验
kgc302的博客
05-27 903
21 世纪,人类迈入了“信息爆炸时代”,大量的数据、信息在不断产生,伴随而来的 就是如何安全、有效地存储、检索和管理它们。对数据的有效存储高效访问、方便共享和 安全控制已经成为信息时代亟待解决的问题。使用数据库可以高效且条理分明地存储数据,使人们能够更加迅速、方便地管理数据。数据库具有以下特点。可以结构化存储大量的数据信息,方便用户进行有效的检索和访问可以有效地保持数据信息的一致性、完整性,降低数据冗余可以满足应用的共享和安全方面的要求,在数据库技术日益发展的今天,主流数据库代表着成熟的数据库技术。
SQL 注入分析与防护
m0_73522967的博客
05-26 667
SQL 注入是一种代码注入技术,攻击者通过在输入字段中插入恶意 SQL 代码,改变数据库查询逻辑,从而绕过身份验证、访问敏感数据或对数据库进行恶意操作。这种攻击方式利用了应用程序未对用户输入进行正确定义和验证的漏洞。
【HW系列】—web常规漏洞(SQL注入与XSS)
2402_84408069的博客
05-25 1027
SQL注入和XSS攻击是两种常见的Web安全威胁。SQL注入通过构造恶意SQL语句操纵数据库,可能导致数据泄露、绕过认证等严重后果。防御措施包括输入验证、参数化查询和日志监控。XSS分反射型、存储型和DOM型,攻击者可注入恶意脚本窃取用户信息或劫持会话。防范方法有输入过滤、输出转义、使用HttpOnly和CSP策略。两种攻击都强调对用户输入的严格验证,蓝队需建立全面的监测防御机制。
MySQL 定时逻辑备份
岳麓丹枫
05-25 280
2.修改定时任务触发时间验证。
redis的主从复制
weixin_65562581的博客
05-24 362
要求:把host63也配置为host61的从服务器。3)在主服务器host61查看角色。4)在从服务器查看是否同步数据。在redis162查看角色。在redis161主机查看。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值