您当前的位置:首页 > 电脑百科 > 安全防护 > 黑客技术

黑客组织使用定制的“Symatic”加载Cobalt Strike后门

时间:2022-11-11 13:53:23  来源:今日头条  作者:会杀毒的单反狗

一个以前不为人知的APT(高级持续威胁)黑客组织被称为“Earth Longzhi”,目标是东亚、东南亚和乌克兰的组织。

攻击者至少从 2020 年开始就一直活跃,他们使用定制版本的 Cobalt Strike 加载程序在受害者系统上植入持久性后门。

根据趋势科技的一份新报告,Earth Longzhi 具有与“ Earth Baku ”相似的 TTP(技术、策略和程序),两者都被认为是被追踪为 APT41的分支组织。

APT41 组织结构 (Trend Micro)

趋势科技的报告展示了 Earth Longzhi 进行的两次活动,第一次发生在 2020 年 5 月至 2021 年 2 月之间。期间,黑客攻击了TW的几家基础设施公司、一家银行和一个政府机构。

在这次活动中,黑客使用了定制的 Cobalt Strike 装载机“Symatic”,该装载机具有复杂的反检测系统,包括以下功能:

  • 从“ntdll.dll”中移除 API 挂钩,获取原始文件内容,并将内存中的 ntdll 映像替换为不受安全工具监控的副本。
  • 为进程注入生成一个新进程并伪装父进程以混淆链。
  • 将解密的有效负载注入新创建的进程。

 

对于其主要操作,Earth Longzhi 使用了一种一体化的黑客工具,将各种公开可用的工具组合在一个包中。

该工具可以打开 Socks5 代理、在 MS SQL 服务器上执行密码扫描、禁用 windows 文件保护、修改文件时间戳、扫描端口、启动新进程、执行 RID 欺骗、枚举驱动器以及使用“SQLExecDirect”执行命令。

趋势科技观察到的第二次活动从 2021 年 8 月持续到 2022 年 6 月,针对菲律宾的保险和城市发展公司以及泰国和TW的航空公司。

第二次活动的时间表 (趋势科技)

在最近的这些攻击中,Earth Longzhi 部署了一组新的自定义 Cobalt Strike 加载程序,这些加载程序使用不同的解密算法和附加特性来提高性能(多线程)和有效性(诱饵文档)。将 Cobalt Strike 有效负载注入到在内存中运行的新创建的进程中与在 Symatic 中相同。

BigpipeLoader 的一个变体遵循非常不同的有效负载加载链,在合法应用程序 (wusa.exe) 上使用 DLL 旁加载 (WTSAPI32.dll) 来运行加载程序 (chrome.inf) 并将 Cobalt Strike 注入内存。

Earth Longzhi 攻击中使用的最新加载程序变种 (Trend Micro)

在目标上运行 Cobalt Strike 后,黑客使用自定义版本的 Mimikatz 窃取凭据并使用“PrintNighmare”和“PrintSpoofer”漏洞来提升权限。

为了禁用主机上的安全产品,Earth Longzhi 使用名为“ProcBurner”的工具,该工具滥用易受攻击的驱动程序 (RTCore64.sys) 来修改所需的内核对象。ProcBurner 旨在终止特定的运行进程。

ProcBurner 功能图 (趋势科技)

值得注意的是, BlackByte 勒索软件在自带易受攻击的驱动器 (BYOVD) 攻击中也使用了相同的 MSI Afterburner 驱动程序 ,滥用它来绕过安全软件保护。

APT 组织越来越依赖商品恶意软件和 Cobalt Strike 等攻击框架来掩盖他们的踪迹并使归因变得困难。黑客开发和使用定制工具来隐蔽加载有效载荷和绕过安全软件。通过采取这些策略,Earth Longzhi 已经设法保持至少 2.5 年未被发现。



Tags:后门   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
2023史诗级漏洞后门曝光!存在长达几十年,美国或用于监听全球
近期,荷兰研究人员发现一种用于全球关键数据和语音无线电通信的技术存在严重的安全漏洞,甚至还有一个故意设置的后门。值得一提的是,该技术一直处于保密状态,以防止任何人仔细检...【详细内容】
2023-07-28  Search: 后门  点击:(275)  评论:(0)  加入收藏
常见域后门技术总结与分析利用
0x00 前言当获取到域控的权限后,为了防止对域控权限的丢失,hacker 也会使用一些技术来维持已获取到的域权限。因此,本文对常见的域后门技术进行了总结并对其利用方式进行了详细...【详细内容】
2023-03-09  Search: 后门  点击:(294)  评论:(0)  加入收藏
双头龙(RotaJakiro),一个至少潜伏了3年的后门木马
版权版权声明:本文为Netlab原创,依据 CC BY-SA 4.0 许可证进行授权,转载请附上出处链接及本声明。概述2021年3月25日,360 NETLAB的BotMon系统发现一个的VT 0检测的可疑ELF文件(M...【详细内容】
2023-02-23  Search: 后门  点击:(335)  评论:(0)  加入收藏
使用DNS Tunnel技术的后门木马正在通过Log4j漏洞传播
背景自从Log4J漏洞被曝光后,正所谓"忽如一夜漏洞来,大黑小灰笑开怀”。无数黑产团伙摩拳擦掌加入了这个“狂欢派对”,其中既有许多业界非常熟悉的恶意软件家族,同时也有一些新兴...【详细内容】
2023-02-04  Search: 后门  点击:(162)  评论:(0)  加入收藏
如何在Windows AD域中驻留ACL后门
前言 当拿下域控权限时,为了维持权限,常常需要驻留一些后门,从而达到长期控制的目的。Windows AD域后门五花八门,除了常规的的添加隐藏用户、启动项、计划任务、抓取登录时的密...【详细内容】
2022-12-08  Search: 后门  点击:(422)  评论:(0)  加入收藏
黑客组织使用定制的“Symatic”加载Cobalt Strike后门
一个以前不为人知的APT(高级持续威胁)黑客组织被称为“Earth Longzhi”,目标是东亚、东南亚和乌克兰的组织。攻击者至少从 2020 年开始就一直活跃,他们使用定制版本的 Cobalt St...【详细内容】
2022-11-11  Search: 后门  点击:(400)  评论:(0)  加入收藏
Linux后渗透常见后门驻留方式分析
引言当RedTeam拿下了一台服务器并获取到系统较高权限,但不知道服务器的凭证时,RedTeam会采用怎样的技术获取系统凭证呢?又或者,在RedTeam拿下一台服务器,为达到长久控制的目的而...【详细内容】
2022-11-09  Search: 后门  点击:(279)  评论:(0)  加入收藏
网站被黑客上传了木马后门如何处理
如果网站遭到黑客攻击,不要担心,您可以遵循以下提示:1.确认网站已被篡改攻击,尤其被上传了网站木马文件,一般被称为是Webshell。攻击者也有可能通过Webshell获得服务器的管理员...【详细内容】
2022-10-31  Search: 后门  点击:(392)  评论:(0)  加入收藏
怎么查看电脑是否有后门?快速删除木马后门秘诀
感觉现在的互联网上,病毒以及各种类型的木马程序越来越多了,换着花样的出现。除了加强防范意识之外,那么我们如何确定自己的电脑是否被植入了后门呢?其实这很容易,只需要简单的一...【详细内容】
2022-09-11  Search: 后门  点击:(1047)  评论:(0)  加入收藏
linux服务器有木马后门如何排查定时任务计划
关于在linux在排查木马时查看定时任务,那定时任务是什么,其实它就是定时定点的执行Linux程序或者一个脚本。那如何创建定时任务,很简单,我们通过这个命令,每一个用户都可以创建自...【详细内容】
2022-09-08  Search: 后门  点击:(348)  评论:(0)  加入收藏
▌简易百科推荐
小心“黑客”利用445端口攻击你的Win8系统!
Windows 8系统自带一个名为SMB(Server Message Block)的服务,使用445端口进行通信。这个服务主要用于文件共享和网络协议等功能,但是无良黑客也会利用这个服务来攻击你的电脑。...【详细内容】
2024-04-10    潘小姐  Tags:445端口   点击:(3)  评论:(0)  加入收藏
为什么黑客不去攻击微信钱包?
在这个数字化时代,网络安全已经成为我们生活中不可或缺的一部分。每当我们打开手机,使用微信钱包进行支付时,是否曾有过这样的疑问:为什么黑客不去攻击微信钱包?这个问题,就像是在...【详细内容】
2024-02-19  猫探长情报局  今日头条  Tags:黑客   点击:(55)  评论:(0)  加入收藏
发条消息就能破解iPhone?苹果系统这次像被“内鬼”攻破的。。。
前几天,差评君在网上冲浪的时候,看到了一条相当震撼的消息:简单来讲,就是主打封闭安全的 iPhone ,不仅被攻击者发现了漏洞成功入侵,完全控制整个手机。更加抽象的是入侵的还是知名...【详细内容】
2024-01-26  差评    Tags:破解iPhone   点击:(136)  评论:(0)  加入收藏
十种黑客攻击手段及防御方法
在互联网的世界里,网站安全犹如一座城堡,需要严密的防线来抵御各种攻击手段。以下是10种最常见的网络攻击手段,以及我们如何采取措施来保护我们的网站。1. 跨站脚本攻击:这是黑...【详细内容】
2024-01-21  老吴讲IT    Tags:黑客攻击   点击:(83)  评论:(0)  加入收藏
渗透测试中最常见的漏洞有哪些?
什么是渗透测试?渗透测试是一项安全测试,旨在模拟黑客的攻击方式,评估系统、网络或应用程序的安全性,发现潜在的安全漏洞并提出建议来修复它们。渗透测试中最常见的漏洞包括:1....【详细内容】
2024-01-11  五湖联技术服务公司    Tags:渗透测试   点击:(106)  评论:(0)  加入收藏
作为一名黑客/安全专家,应该掌握什么技能?熟悉哪些软件/工具?
作为一名合格的黑客/网络安全专家,应该具备一套全面的知识体系和实战技能,同时熟悉多种安全软件和工具。今天我们将根据目前市面上流行的一些应用程序,以及常规的安全防护措施,...【详细内容】
2023-12-11  黑客联盟I    Tags:黑客   点击:(140)  评论:(0)  加入收藏
黑客是如何入侵一个网站的?(网络安全人员应该了解的知识)
前不久阿里以及滴滴系统的大规模瘫痪足以唤起人们对网络安全的重视。我首先必须澄清的是,作为一个网络安全专家,我不提供或者鼓励任何违法的行为,包括未经授权的计算机系统入侵...【详细内容】
2023-12-07  黑客联盟I    Tags:黑客   点击:(177)  评论:(0)  加入收藏
网络黑客入侵解析:保护你的网络安全
在当今数字化快速发展的时代,网络安全问题逐渐成为人们关注的焦点。网络黑客入侵事件频发,给个人和企业带来了严重的威胁。本文将深入解析网络黑客入侵的常见手段和原因,并探讨...【详细内容】
2023-12-05  小记青春    Tags:黑客入侵   点击:(161)  评论:(0)  加入收藏
黑客滥用 Google 表单进行诈骗
研究人员最近发现滥用 Google 表单的垃圾邮件有所增加,攻击者首先在 Google 表单中创建新的问卷调查,并且利用受害者的电子邮件地址参与问卷调查,滥用 Google 表单的功能将垃圾...【详细内容】
2023-11-23  区块软件开发  今日头条  Tags:黑客   点击:(221)  评论:(0)  加入收藏
黑客工具 Flipper Zero 曝光,可利用蓝牙弹出窗口崩溃 iPhone
据外媒 9to5Mac 报道,一种流行且廉价的黑客设备 Flipper Zero 今年 9 月首次出现,可通过制造蓝牙弹出窗口,向 iPhone 和 iPad 重复告诉发送垃圾内容,直到相关设备最终崩溃,不过直...【详细内容】
2023-11-20  IT之家    Tags:黑客工具   点击:(242)  评论:(0)  加入收藏
站内最新
站内热门
站内头条