安全研究人员发现:Nanocore等多个远控木马滥用公有云服务传播

最新推荐文章于 2025-11-11 21:18:05 发布
原创 最新推荐文章于 2025-11-11 21:18:05 发布 · 1.7k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #服务器 #运维 #网络安全

安全研究人员发现,攻击者使用Azure和AWS云服务部署下载服务器,通过钓鱼邮件传播Nanocore、Netwire和AsyncRAT等远控木马。感染链始于恶意ZIP附件,包含ISO镜像文件,执行后下载更多攻击载荷。受害者遍布多个国家,主要在美国、加拿大、意大利和新加坡。

前言

攻击者越来越多的采用云来构建自己的基础设施,这样不仅能够使攻击者以最少的时间或金钱部署攻击基础设施,也能让追踪攻击行动变得更困难。

从 2021 年 10 月 26 日开始,研究人员发现多个远控木马开始通过云服务进行投递传播。

感染链从带有恶意 ZIP 附件的钓鱼邮件开始,ZIP 文件中包含一个带有恶意程序的 ISO 镜像文件。恶意程序的多种多样,如 JavaScript、Windows 批处理文件或 Visual Basic 脚本。脚本执行后,会通过下载服务器下载下一阶段的攻击载荷,攻击者将下载服务器部署在基于 Azure 的 Windows 服务器或基于 AWS 的 EC2 实例上。

image

攻击者使用的远控木马是 Netwire、Nanocore 和 AsyncRAT,并且利用免费动态 DNS 服务 DuckDNS 注册了多个恶意域名。

攻击载荷

Nanocore

Nanocore 通常是 32 位 .NET 可执行文件,在 2013 年被首次发现,后来被各种攻击者广泛使用。

从发现的 Nanocore 样本中提取配置信息后,可以确认攻击者使用的是 1.2.2.0 版本(已泄露版本)的 Nanocore。样本的构建日期为 2021 年 10 月 26 日,使用的 C&C 服务器为 mback5338.duckdns.org

image

Nanocore 配置文件

后续发现的 Nanocore 样本也会使用其他不同的 C&C 服务器和端口号:

nanoboss.duckdns.org

justinalwhitedd554.duckdns.org

样本中携带的是 Client 插件和 SurveillanceEx 插件,前者用于处理与 C&C 服务器的通信,后者用于提供对音视频的捕获和远程桌面。

Netwire

Netwire 通常会窃取受害者的密码、登录凭据和信用卡数据等隐私信息,同时兼具命令执行和窃取文件的功能。

通过写入注册表进行持久化:

HKEY_CURRENT_USER\Software\NETwIRe\HostId

HKEY_CURRENT_USER\Software\NETwIRe\Install Date

HKEY_CURRENT_USER\SOfttware\Microsoft\WIndows\CurrentVersion\Run\SysWOW32

AsyncRAT

AsyncRAT 通常会通过加密链接远程监控和控制计算机,攻击者还可以通过 AsyncRAT 对失陷主机进行

最低0.47元/天 解锁文章
[网络安全自学篇] 九十.木马详解及APT攻击中的和防御
杨秀璋的专栏
07-24 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了软件来源分析,结合APT攻击中常见的判断方法,利用Python调用扩展包进行溯源。这篇文章将详细分享木马及APT攻击中的,包括木马的基本概念和分类、木马的植入方式、木马的通信方式、APT攻击与木马等。作者之前分享了多篇木马的文章,但这篇更多是讲解木马,基础性文章,希望对您有所帮助~
微软Word文档再成攻击媒介,被用于传播NanoCore木马
mozhe_的博客
01-23 501
FortiGuard实验室于近日发文称,他们在最近捕获了一封恶意的Microsoft Office Word文档,其中包含可自动执行的恶意VBA代码,能够在受害者的Windows系统上安装NanoCore木马。 恶意Word文档分析 根据FortiGuard实验室的说法,被捕获的恶意文档被命名为“eml_-_PO20180921.doc”。在你打开它时,会在窗口顶部看到一个黄色的警告条,旨...
网络安全人士必知的黑客工具NanoCore
m0_61869253的博客
03-08 999
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
AsyncRAT-C-Sharp 使用教程
最新发布
gitblog_00319的博客
11-11 675
AsyncRAT 是一款使用 C# 开发的 C2(Command and Control)工具。它支持多种功能,如从 Pastebin 读取 C2 服务器配置、内存加载 PE 文件、动态编译并执行 C# 或 VB 代码、U 盘感染、自动读取 Firefox 和 Chrome 浏览器中保存的密码等。AsyncRAT 通过 C# 接口技术提高程序的扩展性,并将每个功能对应一个类,编译成 dll 文件,
NanoCore RAT样本分析
PwnGuo的博客
06-28 3630
NanoCore RAT是在.Net框架中开发的有名的软件,网络环境中大量利用各种手段传播此软件,有时巧妙的构造有效的绕过杀软在进一步通过服务端进行功能模块的更新,深受黑客喜爱,从蜜罐捕获相应的样本做进一步分析。 客户端上线通知,显示主机相关信息: 客户端上线通知 插件功能丰富,键盘监,实时视频操作,语音,命令行制等完全程主机。 模块插件 客户端一键生成非常非常方便,...
Nanocore多个木马滥用公有云服务传播
qq_53058639的博客
08-15 577
攻击者越来越多的采用云来构建自己的基础设施,这样不仅能够使攻击者以最少的时间或金钱部署攻击基础设施,也能让追踪攻击行动变得更困难。从 2021 年 10 月 26 日开始,研究人员发现多个木马开始通过云服务进行投递传播。感染链从带有恶意 ZIP 附件的钓鱼邮件开始,ZIP 文件中包含一个带有恶意程序的 ISO 镜像文件。恶意程序的多种多样,如JavaScript、Windows 批处理文件或 Visual Basic脚本。
Nanocore恶意脚本分析
xnxqwzy的博客
02-27 989
经过前面分析可以看到,该样本一共套了四层• 第一层vbs• 第二层vbs• 第三层powershell• 第四层Nanocore RAT每一层之间互相配合最终以无文件落地的形式执行了C2文件,中间还是有挺多值得借鉴的地方。
网络安全CTF竞赛杂项题目解析:涵盖木马分析、Web漏洞利用、加密解码及压缩文件破解技巧
08-18
本文汇总了作者在bugku平台练习的CTF(夺旗赛)杂项题目解题思路,涵盖木马分析、Web漏洞挖掘、颜文字解读、磁盘镜像提取、图片隐写分析、压缩包破解、Ook编码解码、GIF动画隐写及SWF文件反编译等多个方面。...
自己写的木马,欢迎各位大佬改善
03-11
在信息技术领域,木马是一种常见的恶意软件类型,它通常伪装成合法的软件来诱骗用户安装,...对于安全研究人员和专业组织,需要持续监和分析此类恶意软件,以便更好地防范未来的攻击,并为用户提供有效的保护方案。
精选资源
"C2"通常指的是“Command and Control”(C&C,指挥与制)的一种形式,它是恶意软件、木马、僵尸网络等
08-15
"C2"通常指的是“Command and Control”(C&C,指挥与制)的一种形式,它是恶意软件、木马、僵尸网络等网络攻击活动中常见的一个组成部分。C2系统允许攻击者从程位置制被感染的计算机或设备。下面是对...
AsyncRAT-C-Sharp:Windows C#(RAT)的开源程管理工具
05-25
异步RAT AsyncRAT是一种程访问工具(RAT),旨在通过安全的加密连接来程监视和制其他计算机 包含的项目 该项目包括以下内容 插件系统发送和接收命令 用于制客户端的接入终端 可通过终端管理的可配置客户端 记录所有重要事件的日志服务器 功能包括: 客户端屏幕查看器和记录器 客户端防病毒和完整性管理器 客户端SFTP访问,包括上载和下载 客户端和服务器聊天窗口 客户端动态DNS和多服务器支持(可配置) 客户端密码恢复 客户端JIT编译器 客户端键盘记录器 客户端反分析(可配置) 服务器制的更新 客户端反恶意软件启动 服务器配置编辑器 服务器多端口接收器(可配置) 服务器缩略图 服务器二进制生成器(可配置) 服务器混淆器(可配置) 以及更多! 技术细节 此项目中使用了以下在线服务器/资源 [pastebin.com]-用于客户端构建器中的“ PasteBin”选项
NanoCore2 开源项目安装与使用教程
gitblog_00414的博客
09-26 463
NanoCore2 开源项目安装与使用教程 1. 项目目录结构及介绍 NanoCore2 是一个基于 uBlock Origin 的广告拦截器项目。以下是项目的目录结构及其介绍: NanoCore2/ ├── config/ │ └── nano.js # 项目的配置文件 ├── description/ │ └── en/ # 项目描述文件 ├...
2024年最危险的十大恶意软件,从零基础到精通,收藏这篇就够了!
leah126的博客
01-23 3153
Emotet最初是一个银行木马,现已演变为多功能的恶意软件平台,因其高效的“敏捷开发”能力在业界闻名,主要通过带有恶意附件的钓鱼邮件传播。面对日益复杂的恶意软件威胁,企业应采取情报驱动的主动防御策略,包括定期更新系统和软件、加强网络钓鱼防御、实施多因素身份验证并投资行为分析工具,以检测和阻止潜在的攻击。针对Windows平台的木马,将目标系统的系统信息发送到服务器,从服务器接收命令来下载并执行插件、终止进程、卸载/更新自身以及捕获受感染系统的屏幕截图。大白也帮大家准备了详细的学习成长路线图。
NanoCore2 开源项目教程
gitblog_01154的博客
09-25 623
NanoCore2 开源项目教程 1. 项目介绍 NanoCore2 是一个基于 uBlock Origin 的广告拦截器项目,旨在提供一个高效、轻量级的广告拦截解决方案。该项目通过打补丁的方式对 uBlock Origin 进行改进,以适应特定的需求和优化。NanoCore2 的核心目标是提供一个易于维护和扩展的广告拦截器,同时保持与上游项目的兼容性。 2. 项目快速启动 2.1 环境准备 在开...
Python Challenge系列解题9-13
skiery的博客
02-18 1100
PythonChallenge系列解题步骤@Skiery Python Challenge 9 Connect the dots em,网页中没有任何提示,所以观察一下图片,发现上面有很多像素点,开始解题~ Solution 9 首先注意看了一下题目名字,叫做connect the dots,大概是把图中的点都连起来?先不管三七二十一,把代码爬下来再说(说实在的,大家要是懒就直接用之前爬clue...
揭秘APT团体常用的秘密武器——AsyncRAT
二狗的博客
07-27 1159
AsyncRAT 是 2019 年 1 月在 [GitHub](https://github.com/NYAN-x-CAT/AsyncRAT-C-Sharp)上开源的木马,旨在通过程加密链接制失陷主机,提供如下典型功能:截取屏幕键盘记录上传/下载/执行文件持久化禁用 Windows Defender关机/重启DOS 攻击GitHub 上提供了免责声明,但 AsyncRAT 仍然被许多攻击者,甚至是 APT 组织所广泛使用。Netskope。
AsyncRAT 攻击变化新动向
baimaozi008的博客
09-02 1685
攻击者在 2023 年,使用了数百个不同的样本文件来感染受害者并且尽量保持了隐蔽。攻击者非常重视定制化,对样本不断进行混淆与修改。
C#Quasar与AsyncRAT对比
摔不死的笨鸟的博客
02-08 2236
Quasar和AsyncRAT
STAR制:安全无后门的工具
因此,“无毒”意味着该软件经过安全检测,不含病毒、木马、蠕虫等恶意程序,用户可以放心使用;而“无后门”则意味着该软件在设计和开发过程中,未预留任何未经用户授权即可访问系统资源的隐蔽通道,避免被第三方...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值