黑客web脚本攻击与防御技术核心剖析 乌克兰电力攻击事件分析及防护方案

11/27 23:08:42 来源网站:辅助卡盟网

针对此次事件中以钓鱼邮件入侵的手段,还可以申请试用反垃圾邮件服务,通过这项服务用户可以对电子邮件系统进行全面安全防御,申请链接如下:

#/krosa/views/initcdr/productandservice?pid=1&sid=0&cid=1

专家团队检测服务

1) 绿盟科技工程师前往客户现场检测。

2) 使用绿盟科技的工控漏扫定期对主机进行漏洞检测。

木马专杀解决方案

1) 短期服务:绿盟科技工程师现场木马后门清理服务(人工服务+NIPS+TAC)。确保第一时间消除网络内相关风险点,控制事件影响范围,提供事件分析报告。

2) 中期服务:提供3-6个月的风险监控与巡检服务(NIPS+TAC+人工服务)。根除风险,确保事件不复发。

3) 长期服务:能源行业业务风险解决方案(威胁情报 + 攻击溯源 + 专业安全服务 + 行业工控安全解决方案)

在绿盟科技制定应对方案的同时,为了帮助用户能够对此次攻击事件有更深入的了解,绿盟科技工控安全专家联合威胁响应中心的技术专家,对事件涉及的木马进行了深入分析。

BlackEnergy木马分析

该样本是一个复合样本,包含多个文件。下面绿盟科技的工程师模拟重现这个分析过程。

执行架构

样本的执行架构图如下所示:

如何防御黑客攻击_黑客最常用的web攻击手段_黑客web脚本攻击与防御技术核心剖析

执行架构

样本的启动方式

样本结构

该样本是一个复合型样本,包含多个文件。

表1 各个文件的基本信息介绍

如何防御黑客攻击_黑客web脚本攻击与防御技术核心剖析_黑客最常用的web攻击手段

复合型样本

详细文件功能

XLS

MD5: 97b7577d13cf5e3bf39cbe6d3f0a7732

主要功能:释放C:\Users\Dell\AppData\Local\Temp\vba_macro.exe文件, 并启动执行。

黑客最常用的web攻击手段_如何防御黑客攻击_黑客web脚本攻击与防御技术核心剖析

XLS中的宏代码

如何防御黑客攻击_黑客最常用的web攻击手段_黑客web脚本攻击与防御技术核心剖析

vba_macro.exe

MD5: abeab18ebae2c3e445699d256d5f5fb1

FONTCACHE.DAT

MD5: cdfb4cda9144d01fb26b5449f9d189ff

黑客web脚本攻击与防御技术核心剖析_如何防御黑客攻击_黑客最常用的web攻击手段

RPC通道监听

首先对svchost.exe进行代码注入:

svchost.exe进程中注入的代码

注入的代码的主要功能是调用iexplore.exe进程。

黑客web脚本攻击与防御技术核心剖析_黑客最常用的web攻击手段_如何防御黑客攻击

svchost.exe创建iexplore.exe进程

Iexplore.exe有网络请求,网址已经失效,所以,请求失败。

如何防御黑客攻击_黑客最常用的web攻击手段_黑客web脚本攻击与防御技术核心剖析

explore.exe的网络操作

Droper2.exe

MD5: 1d6d926f9287b4e4cb5bfc271a164f51

文件名:C:\Windows\system32\drivers\adpu320.sys(e60854c96fab23f2c857dd6eb745961c)并加载执行。adpu320.sys文件名是随机生成的。

加载方式为:

12345

使用函数:CreateProcessA参数:ModuleFileName="C:\Windows\system32\cmd.exe",CommandLine="/c "ping localhost-n8&move/Y"C:\Windows\adpu320s""C:\Windows\system32\drivers\adpu320.sys"&ping localhost-n3&net start adpu320""。

user32.dll.mui中保存了系统的版本与水印信息。

123456789

获取文件所有权使用函数:CreateProcessA参数:CommandLine="C:\Windows\system32\cmd.exe /c C:\Windows\System32\takeown.exe /f "C:\Windows\System32\zh-CN\user32.dll.mui""恢复文件所有权使用函数:CreateProcessA参数:ModuleFileName=NULL0018EF440018EF74|CommandLine="C:\Windows\system32\cmd.exe /c "C:\Windows\System32\icacls.exeC:\Windows\System32\zh-CN\user32.dll.mui/grant%username%:F""

    暂无相关资讯
黑客web脚本攻击与防御技术核心剖析 乌克兰电力攻击事件分析及防护方案