详细内容或原文请订阅后点击阅览
Earth Estries:趋势科技揭示隐形黑客的高超技巧
针对企业网络的复杂网络攻击的幕后故事。
来源:安全实验室新闻频道针对企业网络的复杂网络攻击的幕后黑手。
趋势科技详细介绍了 Earth Estries 组织发起的两次大规模黑客活动。攻击者使用先进技术,通过广泛使用的软件中的漏洞渗透企业系统。
趋势科技 详细讲述第一种攻击模式侧重于利用 QConvergeConsole,这是一种用于管理 QLogic 光纤适配器的工具。获得初始访问权限后,黑客使用 PsExec 和 WMIC 实用程序在网络上传播恶意软件。
研究人员指出,攻击者通过安装的远程应用程序代理 (c:\program files\qlogiccorporation\nqagent\netqlremote.exe) 利用 QConvergeConsole 中的漏洞或不正确的设置,从而允许在目标计算机上进行网络扫描和安装 Cobalt Strike。
在另一个案例中,该组织利用了 QConvergeConsole 附带的 Apache Tomcat6 中的漏洞 (c:\program files (x86)\qlogiccorporation\qconvergeconsole\tomcat-x64\apache-tomcat-6.0.35\bin\tomcat6.exe ),用于攻击后期的横向移动和工具控制。
该组织还积极利用各种后门在系统中站稳脚跟。其中包括 Cobalt Strike、Trillclient、Hemigate 和一个名为 Crowdoor 的新样本。恶意软件以 CAB 档案的形式传递到受感染的计算机。
特别值得注意的是 Trillclient 工具,该工具从浏览器缓存中窃取凭据。在它的帮助下,攻击者获得了对受感染系统的额外控制。 Earth Estries 展示了对受害者基础设施的深入了解 - 他们使用 wget 命令直接从内部网络存储下载文档。
Trillclient 运行 PowerShell 脚本来收集用户配置文件:
foreach($win_user_path in $users_path){
foreach($win_user_path in $users_path){}
}