2024-11-04 CRON#TRAP(模拟Linux环境)样本
2024-11-04 Securonix:CRON#TRAP:模拟Linux环境作为恶意软件部署的最新策略
攻击者通过网络钓鱼邮件中的恶意.lnk文件分发定制的QEMU模拟Linux环境。当执行时,该文件安装并启动QEMU实例来运行Tiny Core Linux后门,从而在受害者机器上实现隐蔽持久化。
.lnk文件激活PowerShell从大型隐藏zip存档中提取并运行已重命名为fontdiag.exe的QEMU。
该QEMU实例连接到C2服务器,通过大多数防病毒工具无法检测的模拟环境保持隐蔽存在。
模拟环境包含"PivotBox"设置,其中包含用于直接与主机交互的命令别名,命令日志显示SSH设置、有效负载执行和持久化配置等步骤。
攻击者使用从不常见目录重命名和执行的合法软件(QEMU),以及SSH密钥和脚本修改,确保可靠访问和最小化检测。
基于Chisel的后门crondx通过websockets建立安全的C2通道,实现加密数据泄露和进一步的有效负载部署。
下载 下载。如果您需要密码方案,请通过电子邮件联系我。
文件信息
|
|
恶意软件存储库链接
在博客存在的过去15年中,由于更严格的无恶意软件政策,许多托管提供商已停止支持。这导致链接失效,尤其是在较旧的帖子中。如果您在contagiodump.blogspot.com(或contagiominidump.blogspot.com)上发现失效链接,只需记下URL中的文件名并在Contagio恶意软件存储中搜索即可。