github某0day漏洞投毒与钓鱼样本分析

钓鱼攻击利用MSOfficeWord0DAY,涉及TOR网络的恶意软件分析
最新推荐文章于 2025-06-06 19:40:59 发布
原创 最新推荐文章于 2025-06-06 19:40:59 发布 · 1.2k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #开发语言 #单元测试 #microsoft #windows

文章详细分析了一起利用GitHub和Telegram进行的钓鱼攻击,攻击者通过捆绑含有假的MSOfficeWord0DAY利用程序的Python脚本poc.py来下载执行木马。这些木马使用TOR网络连接黑客控制服务器,获取并发送系统信息,还能执行远程命令。样本包括cveswindows.exe和cveslinux,具有防止多实例运行、创建计划任务、下载TOR组件等功能,甚至可能涉及USB传播和加密货币地址替换。
部署运行你感兴趣的模型镜像

前言

近日,烽火台实验室监测到多起针对安全人员的钓鱼攻击。其中一例利用MS Office Word 0DAY进行钓鱼,在github.com和Telegram群组中公开0DAY利用程序,其中并没有包含真正的利用程序,但是却捆绑了木马。运行后下载和执行木马程序,木马使用TOR匿名网络连接黑客控制服务器,接受黑客控制。平时下载运行网络上的漏洞利用程序时要多加小心,避免成为黑客的“肉鸡”。

样本信息

钓鱼地址:https://github.com/researchkendra91(目前已无法访问)

钓鱼地址:https://github.com/octosec45/ms-word-rce-0day-poc-2023(目前仍存活)

样本名:poc.py

MD5:70182e6523bf1d9106055881b5c93e49

SHA256:c2bcda29fed175e127bf4ba66de7144509ad7d34627020444a36466b39ffcd9f

样本名:cveswindows.exe

MD5:1daf1ae4b628a3a2dabacfe41a81b893

SHA256:01055e217335489d11bfba457b0ced01a06afe2270e4eec442347c93794df578

样本名:cveslinux

MD5:f9b1f07ce6c2cd4a26461124a483ae46

SHA256:e582650a3e9db2f77022317db1c2c9f01411ef5333d83bd52fd9b11102a3cdfd

poc.py分析

在github.com上的钓鱼页面中,包含了MS Office Word 0DAY利用程序poc.py和一段使用帮助,如下图所示:

在poc.py的末尾,有段帮助信息,表明这是CVE-2023-40454的利用程序,如下图所示:

初步看起来好像没什么问题。但是一查发现,CVE-2023-40454并不存在。如果再仔细点,在poc.py中,还有一段可疑代码,如下图所示:

这段代码根据Win或者其他系统,分别访问

https://github.com/octosec45/ms-word-rce-0day-poc-2023/raw/main/gitignore/cveswindows.zip

或者

https://github.com/octosec45/ms-word-rce-0day-poc-2023/raw/main/gitignore/cveslinux.zip

下载不同的zip文件,然后解压再运行,解压密码为“cVe35364%”。

本次分析Win系统下的木马程序cveswindows.zip,其中包含cveswindows.exe,功能与其他版本(cveslinux.zip)的木马基本相同。

cveswindows.exe在2023-05-05被上传到virustotal.com进行检测,其中有用户表明该样本曾出现在Telegram群组的钓鱼文件中,如下图所示:

cveswindows.exe分析

该样本使用go语言编写,反编译后可以看到大量引用的go模块字符串,原始工程文件名为implant_windows.go,go版本为go1.20.2,如下图所示:

样本运行后,将执行一个名为port_check的函数,该函数主要检测本地端口1337是否开启,如果没有开启,则继续往下执行;如果开启,则退出程序。该功能可以实现只运行一个实例,如下图所示:

然后判断是否是管理员,再判断

%ProgramFiles%和%LOCALAPPDATA%路径下是否特定文件夹名,文件夹名包括:WindowsUpdateTaskUAACore、ChromeUpdateTaskMachinCore、ChromeUpdateTaskMachinCore等。如果不存在,则复制自身文件到其中一个文件夹下,再创建任务计划,每天18:00启动木马程序,如下图所示:

接下来访问“https://dist.torproject.org/torbrowser”,下载tor-expert-bundle并解压,然后释放tor.exe、obfs4proxy.exe和TOR网络连接需要的配置文件到创建计划任务时的木马exe路径下,文件夹名为随机命名,然后配置TOR连接,再启动tor.exe,完成TOR网络的连接。如下图所示:

使用TOR网络访问“https://ipinfo.io/json”,获取当前主机的外网IP,归属地,所属国家等信息,如下图所示:

然后获取计算机名、用户名、操作系统版本、名称,CPU等基本信息,最后再加密获取的信息,如下图所示:

将加密的信息通过TOR网络发送到“http://yr7dhedoqr7tacpxt6xdeh6bponmp53rbfaf74iis37v4vf6vfd2vkyd.onion/0011378b1fe87c721bbd4e4e2d3d26111869c51cd37960dbe518aade0b6529aa”,进行上线,如下图所示:

上线成功后,将接受服务器返回的信息,然后解析数据执行黑客命令,可以实现上传指定文件、下载指定文件、创建cmd.exe或powershell.exe执行程序。笔者调试时,未返回有效数据。

上传指定文件相关代码,如下图所示:

下载指定文件相关代码,如下图所示:

创建cmd.exe执行程序相关代码,如下图所示:

创建powershell.exe执行程序相关代码,如下图所示:

此外,代码中还包含名为spread_USB的函数,实现USB传播木马的功能,但是还有复杂的逻辑判断后才运行该功能,笔者暂时没有找到启用该功能的条件。如下图所示:

还包含名为spread_Cryptohijack的函数,实现替换剪贴板中的数字货币BTC地址,但是也有复杂的逻辑判断后才运行该功能,笔者暂时没有找到启用该功能的条件。如下图所示:

最后监听本地端口1337,对应port_check的函数中的检测端口功能,表明木马已经在运行中。如下图所示:

参考链接

https://www.virustotal.com/gui/file/01055e217335489d11bfba457b0ced01a06afe2270e4eec442347c93794df578/community

样本地址

https://github.com/webraybtl/vulnerability0DAY

您可能感兴趣的与本文相关的镜像

Python3.11

Python3.11

Conda
Python

Python 是一种高级、解释型、通用的编程语言,以其简洁易读的语法而闻名,适用于广泛的应用,包括Web开发、数据分析、人工智能和自动化脚本

盛邦安全
关注
RDP远程桌面漏洞复现(CVE-2019-0708)
谢公子的博客
09-07 6480
9.7号凌晨一点多,开发者 @rapid7在Github上放出了windows远程桌面服务RCE漏洞(CVE-2019-0708)的exp。一大早醒来,朋友圈就被各大公司安全预警给刷了屏,趁着上午,立马把该exp复现了一波。 漏洞影响Windows版本: Windows XP SP3 x86 Windows XP Professional x64 Edition SP2 Windows...
TOR的使用
weixin_30270889的博客
06-17 2398
使用步骤: 1.配置,该计算机是否需要通过代理访问互联网?选否 2.该计算机的防火墙是否仅允许特定端口的互联网连接?选否 3.互联网服务提供商(ISP)是否对Tor网络连接进行了封锁或审查?选是 4.使用集成网桥,在选项框里选择meek-azure或者推荐 Or使用自定义网桥,在FQ后上https://bridges.torproject.org/options Tor是一款匿名访问网络的的软件。...
国外漏洞公布(0day,exp)站点集合
weixin_39514626的博客
07-22 1688
转:https://www.cnblogs.com/devi1o/articles/4882895.html intelligentexploit.com http://www.exploit-db.com/ http://sec.jetlib.com http://www.sec-wiki.com/ sebug.net Securityfocus.com 1337day.com http://securityvulns.com/ http://www.milw0rm.com/ http://www.frs
黑客利用WordPress 插件中的提权0day攻陷网站
smellycat000的专栏
07-03 1035
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士黑客利用 “Ultimate Member” WordPress 插件中的 0day 漏洞 (CVE-2023-3460),通过绕过安全措施和注册恶意管理员账户,攻陷网站。Ultimate Member 是一款用户资料和会员插件,便于在WordPress 网站上进行注册和构建社区,目前的活跃下载量超过20万次。CVE-2023-3460的CVSS...
8 [GitHub开源项目被投毒后门病毒跟随开发流程传播蔓延]
vbnetcx的博客
01-23 3万+
对其进行解混淆,分析其为注入器代码,解密内存中的PE,并将其注入到C:\\Windows\\Microsoft.NET\\Framework\\v4.0.30319\\RegAsm.exe。这些脚本执行以下恶意操作。模块进行分析,发现其是剪贴板程序,其主要负责监控剪贴板信息,并匹配剪贴板首字符替换相应的矿池地址,并将其原始剪贴板信息发送到Telegram Bot,其。在软件开发的生态系统中,开发者所使用的工具和库往往会通过软件供应链传播到更广泛的应用中,它们会通过层层传递,融入到更广泛的应用程序中。
GitHub 中超过3.5万开源代码被投毒
OSCS开源安全社区
08-03 1548
8月3日13时,名为 Stephen Lacy 的工程师在 Twitter 中表示其发现 GitHub 中大量仓库被加入了恶意代码,感染文件超过3.5万,涉及 Go 代码、NPM 安装脚本、容器镜像配置等内容。被感染的仓库大多数处在长期不维护的状态,star 和 fork 数量基本为0恶意代码在最早在2019年已经提交进部分仓库,不少仓库是在最近10天左右被感染信息收集和控制指令的服务地址位于俄罗斯15时许,GitHub 开始对受影响仓库进行清理,当前受影响仓库已经全部无法访问。...
美国积极利用EPMM漏洞;TensorFlow易受投毒攻击;伊朗黑客伪装刺探;GitHub在暴露高危漏洞| 安全周报 0119
weixin_55163056的博客
01-19 1648
美国积极利用EPMM漏洞;TensorFlow易受投毒攻击;伊朗黑客伪装刺探;GitHub在暴露高危漏洞
如何利用 RASP 做好 Apache OFBiz 的 0day 漏洞防护?
weixin_55163056的博客
08-12 1408
CVE-2024-38856是一个错误授权漏洞,是因身份验证机制中存在缺陷而产生的漏洞。Apache OFBiz在处理view视图渲染时存在逻辑缺陷,该漏洞允许未经身份验证的远程攻击者通过构造特殊URL来覆盖最终的渲染视图,从而执行任意代码,导致数据泄露、服务中断或恶意代码执行等。安全研究人员在分析CVE-2024-36104的修补过程中发现了CVE-2024-38856这一新的漏洞
0day 漏洞量产?AI Agent “生产线”曝光
最新发布
jike007gt的博客
06-06 1103
本文将深入探讨AI Agent如何通过创新的多智能体协作系统,打造出高效的0day漏洞“生产线”,实现自动化的漏洞检测。随着AI技术的迅猛发展,AI智能体在0day漏洞挖掘领域展现出前所未有的潜力。本文将深入探讨AI Agent如何通过创新的多智能体协作系统,打造出高效的0day漏洞“生产线”,实现自动化的漏洞检测。通过基准测试和实战验证,Agent在复杂代码和大型项目中的表现超越传统工具,极大提升了漏洞识别效率准确性。
Xeno RAT成为GitHub上的严重威胁;黑客组织Lazarus利用Windows内核0day漏洞;五眼联盟警告 Ivanti漏洞被广泛利用 | 安全周报 0301
weixin_55163056的博客
03-01 1500
Xeno RAT成为GitHub上的严重威胁;黑客组织Lazarus利用Windows内核0day漏洞;五眼联盟警告 Ivanti漏洞被广泛利用
NGINX 0 DAY LDAP RCE 漏洞来龙去脉
u012516914的专栏
07-30 2860
背景nginx 0 day RCE 漏洞影响 nginx 18.1。根据 AgainstTheWest Github https://github.com/AgainstTheWest/NginxDay 存储库,此错误 nginx 中的 LDAP-auth 守护程序有关,因为 LDAP Nginx 的交互不多,但是,有一个 Nginx 一起使用的 ldap-aut...
GitHub中超过3.5万开源代码被投毒
dzqxwzoe的博客
10-22 612
8月3日13时,名为 Stephen Lacy 的工程师在 Twitter 中表示其发现 GitHub中大量仓库被加入了恶意代码,感染文件超过3.5万,涉及 Go 代码、NPM 安装脚本、容器镜像配置等内容。被感染的仓库大多数处在长期不维护的状态,star 和 fork 数量基本为0恶意代码在最早在2019年已经提交进部分仓库,不少仓库是在最近10天左右被感染信息收集和控制指令的服务地址位于俄罗斯15时许,GitHub 开始对受影响仓库进行清理,当前受影响仓库已经全部无法访问。
AgentTesla分析报告
Dokii_i的博客
01-19 1342
Time: 07/07/2022 13:34:10<br>User Name: xxxx<br>Computer Name: WIN-UxxxxU9CJ<br>OSFullName: Microsoft Windows 7 专业版 <br>CPU: Intel(R) Core(TM) i7-9750H CPU @ 2.60GHz<br>RAM: 2703.49 MB<br><hr>
Windows域控常见0day及利用漏洞汇集
Ms08067安全实验室
01-10 3652
本文对近几年出现的Windows域控相关漏洞及利用方法进行整理,方便检测存在的漏洞,目前来看主要集中在本地权限提升、打印机服务利用、exchange等。 1.1Kerberos 校验和漏洞MS14-068(CVE-2014-6324) Microsoft Windows Server 2003 SP2、Windows Vista SP2、Windows Server 2008...
2 [GitHub遭遇严重供应链投毒攻击]
vbnetcx的博客
02-02 3万+
近日,有黑客针对 Discord Top.gg 的GitHub 账户发起了供应链攻击,此次攻击导致账户密码、凭证和其他敏感信息被盗,同时也影响到了大量开发人员。Checkmarx 在一份技术报告中提到,黑客在这次攻击中使用了多种TTP,其中包括窃取浏览器cookie接管账户、通过验证提交恶意代码、建立自定义Python镜像,以及向PyPI注册表发布恶意软件包等。Checkmarx 指出,黑客对该平台频繁发起攻击的主要目的很可能是窃取数据并通过出售窃取的信息实现盈利。
5 [警惕境外APT组织在GitHub投毒攻击国内安全从业者和指定大企业]
热门推荐
vbnetcx的博客
01-27 3万+
微步测绘数据关联发现,该组织在此攻击活动的资产不仅限于单一的C2资产,攻击资产存在较为显著的端口测绘特征,本次海莲花组织开始活跃攻击时间范围大致在9月中旬到10月初,根据测绘数据以及海莲花本批攻击的样本编译时间判断,在资产部署时间上基本吻合。2024年10月14号和10月21号,攻击者共发布两个恶意投毒项目,内容为国内常用红队工具Cobalt Strike 的插件,包含新的漏洞利用功能,攻击者在项目介绍中使用中文描述,以此来吸引更多的国内安全行业目标人员。
web渗透测试----30、0day漏洞
七天
07-28 4419
什么是0day 0day又称“零日漏洞”(zero-day)。0day的含义为破解,最早的破解是专门针对软件的,叫做WAREZ。 0表示zero,早期的0day表示软件在发行的24小时之内就出现破解版本。现在一般指的是没有公开,没有补丁的漏洞。 零日攻击或零时差攻击则是指利用这种0day漏洞进行的攻击。0day漏洞的利用程序对网络安全具有巨大威胁,从特征角度看,0day攻击传统的黑客攻击有极大的相似特征,其区别仅仅在于0day攻击的对象以及渠道,是潜在的未知的,或者是虽然已经公布但尚未来得及修复的系统漏洞
学习漏洞挖掘不能错过的网站
qq_42699326的博客
12-16 1883
1. 漏洞数据库 CVE (Common Vulnerabilities and Exposures) 网址:CVE -CVE 内容:全球漏洞编号的官方标准,记录漏洞基本信息,但具体细节有限。 适合:了解漏洞的概述、影响范围和编号,需配合其他资源深入研究。 NVD (National Vulnerability Database) 网址:NVD - Home 内容:基于CVE编号扩展的数据库,提供漏洞评分(CVSS)和详细分析。 优势:包含漏洞的技术细节和修复建议。 CNVD (中国国家漏洞
注意!你的 Navicat 可能被投毒了...
程序猿DD
02-23 3718
大家早上好,我是DD!今天没有等到中午,就来推送了,主要是刚刚看到一份来自微步在线发布的威胁情报通报,其中提到了被我们广泛应用的数据库管理工具Navicat Premium被投毒了。所以,...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值