這篇文章跟大家分析一下“NSA新型APT框架DarkPulsar怎么用”。內(nèi)容詳細(xì)易懂，對(duì)“NSA新型APT框架DarkPulsar怎么用”感興趣的朋友可以跟著小編的思路慢慢深入來(lái)閱讀一下，希望閱讀后能夠?qū)Υ蠹矣兴鶐椭Ｏ旅娓【幰黄鹕钊雽W(xué)習(xí)“NSA新型APT框架DarkPulsar怎么用”的知識(shí)吧。

創(chuàng)新互聯(lián)建站是一家成都網(wǎng)站建設(shè)、成都網(wǎng)站設(shè)計(jì)，提供網(wǎng)頁(yè)設(shè)計(jì)，網(wǎng)站設(shè)計(jì)，網(wǎng)站制作，建網(wǎng)站，定制網(wǎng)站，網(wǎng)站開(kāi)發(fā)公司，從2013年創(chuàng)立是互聯(lián)行業(yè)建設(shè)者，服務(wù)者。以提升客戶(hù)品牌價(jià)值為核心業(yè)務(wù)，全程參與項(xiàng)目的網(wǎng)站策劃設(shè)計(jì)制作，前端開(kāi)發(fā)，后臺(tái)程序制作以及后期項(xiàng)目運(yùn)營(yíng)并提出專(zhuān)業(yè)建議和思路。

前言

2017年3月，ShadowBrokers放出了一份震驚世界的機(jī)密文檔，其中包括兩個(gè)框架：DanderSpritz和FuzzBunch。

DanderSpritz完全由插件組成，用于收集情報(bào)、利用漏洞和操控已接管的設(shè)備。它基于Java編寫(xiě)，提供類(lèi)似于僵尸網(wǎng)絡(luò)管理面板的圖形界面以及類(lèi)似Metasploit工具的控制面板。它還整合了用于非FuzzBunch受控設(shè)備的后門(mén)和插件。

DanderSprit界面

概述

Fuzzbunch為不同的實(shí)用程序提供了一個(gè)用于交互和協(xié)同工作的框架，包含各種類(lèi)型的插件，其目的是分析對(duì)象、利用漏洞、植入任務(wù)等。FuzzBunch框架插件包中的文件分為三種類(lèi)型：

％pluginName％-version.fb

這是框架的實(shí)用程序文件。它從XML復(fù)制標(biāo)頭并包含插件的ID。

％pluginName％-version.exe

當(dāng)FuZZbuNch收到執(zhí)行命令時(shí)，運(yùn)行此可執(zhí)行文件。

％pluginName％-version.xml

此配置文件描述了插件的輸入和輸出參數(shù)的名稱(chēng)、類(lèi)型和描述。這些信息都可以通過(guò)FuzzBunch界面顯示。這種文件類(lèi)型劃分規(guī)范了默認(rèn)參數(shù)的設(shè)置，從而提升了框架的可用性。

ImplantConfig是一個(gè)Fuzzbunch可調(diào)用的工具包，包含一個(gè)名為DarkPulsar的管理模塊，用于管理受控設(shè)備的插件，用于控制名為“sipauth42.tsp”的遠(yuǎn)程控制后門(mén)。

它支持以下命令：

BurnRawShellcodeEDFStagedUploadDisableSecurityEnableSecurityUpgradeImplantPingPong

Burn、RawShellcode、UpgradeImplant和PingPong支持移除/升級(jí)植入軟件、運(yùn)行任意代碼和檢查后門(mén)是否已安裝在遠(yuǎn)程機(jī)器上，其他命令的目的暫不明確。

卡巴斯基實(shí)驗(yàn)室在分析DarkPulsar時(shí)發(fā)現(xiàn)了幾個(gè)用于加密C＆C和植入軟件之間流量的常量：

卡巴斯基認(rèn)為這些常量可以作為進(jìn)一步深入調(diào)查的抓手，所以構(gòu)建了一個(gè)檢測(cè)器。幾個(gè)月后，神秘的DarkPulsar后門(mén)浮出水面，而且包含32位和64位版本。研究人員發(fā)現(xiàn)大約50個(gè)案例，分別位于俄羅斯、伊朗和埃及，常見(jiàn)感染W(wǎng)indows 2003/2008服務(wù)器，涉及核能、電信、IT、航空航天和研發(fā)等領(lǐng)域。

DarkPulsar技術(shù)亮點(diǎn)

DarkPulsar植入的是一個(gè)動(dòng)態(tài)庫(kù)文件，從其工作負(fù)載導(dǎo)出的函數(shù)來(lái)看可以實(shí)現(xiàn)以下幾類(lèi)功能：

兩個(gè)匿名函數(shù)用于在系統(tǒng)中安裝后門(mén)。

名稱(chēng)與TSPI（電話服務(wù)提供程序接口）操作相關(guān)的函數(shù)，用于確保后門(mén)存在于自動(dòng)運(yùn)行列表中并自動(dòng)啟動(dòng)。

名稱(chēng)與SSPI（安全支持提供程序接口）操作相關(guān)的函數(shù)，主要用于運(yùn)行惡意代碼。

SSPI和TSPI接口的實(shí)現(xiàn)很簡(jiǎn)單，使得DarkPulsar導(dǎo)出的函數(shù)與接口函數(shù)的名稱(chēng)相同即可，只不過(guò)用惡意代碼替代了正確的電話服務(wù)。

這個(gè)動(dòng)態(tài)庫(kù)通過(guò)匿名函數(shù)安裝在系統(tǒng)中，調(diào)用具有管理員權(quán)限的Secur32.AddSecurityPackage以及參數(shù)中它自己庫(kù)的路徑來(lái)啟動(dòng)后門(mén)，使得lsass.exe將DarkPulsar加載為SSP/AP并調(diào)用其導(dǎo)出的函數(shù)SpLsaModeInitialize，由DarkPulsar初始化后門(mén)。其中AddSecurityPackage用于將代碼注入到lsass.exe。它還在HKLM\Software\Microsoft\Windows\CurrentVersion\Telephony\Providers中添加了其庫(kù)文件名。

這樣一來(lái)Telephony API（TapiSrv）開(kāi)始加載隨著遠(yuǎn)程訪問(wèn)連接管理器（RasMan）服務(wù)啟動(dòng)開(kāi)始加載，將該啟動(dòng)類(lèi)型設(shè)置為“自動(dòng)”。加載電話服務(wù)提供商的庫(kù)時(shí)，TapiSrv調(diào)用TSPI_lineNegotiateTSPIVersion，其中包含AddSecurityPackage調(diào)用以將惡意代碼注入到lsass.exe中。

DarkPulsar通過(guò)為SpAcceptLsaModeContext（負(fù)責(zé)身份驗(yàn)證的函數(shù)）安裝鉤子來(lái)實(shí)現(xiàn)惡意功能。此類(lèi)注入行為在進(jìn)程lsass.exe中的多個(gè)系統(tǒng)身份驗(yàn)證數(shù)據(jù)包中進(jìn)行，并允許Darkpulsar根據(jù)以下協(xié)議控制身份驗(yàn)證過(guò)程：

1、Msv1_0.dll - 用于NTLM協(xié)議，

2、Kerberos.dll - 用于Kerberos協(xié)議，

3、Schannel.dll - 用于TLS / SSL協(xié)議，

4、Wdigest.dll - 用于摘要協(xié)議，

5、Lsasrv.dll-用于談判協(xié)議。

在完成這個(gè)過(guò)程之后，Darkpulsar能夠?qū)阂廛浖髁壳度氲较到y(tǒng)協(xié)議中。由于此類(lèi)網(wǎng)絡(luò)活動(dòng)是根據(jù)系統(tǒng)標(biāo)準(zhǔn)進(jìn)行的，因此它只會(huì)反映在系統(tǒng)進(jìn)程中，也就是說(shuō)它使用了為上述協(xié)議保留的系統(tǒng)端口，而不會(huì)妨礙其正常運(yùn)行。

成功連接到DarkPulsar植入軟件的網(wǎng)絡(luò)流量

控制身份驗(yàn)證過(guò)程的第二個(gè)優(yōu)勢(shì)是可以繞過(guò)輸入用戶(hù)名和密碼保護(hù)，以獲取對(duì)需要身份驗(yàn)證的對(duì)象的訪問(wèn)權(quán)限，例如進(jìn)程列表、遠(yuǎn)程注冊(cè)表、SMB文件系統(tǒng)。發(fā)送Darkpulsar的DisableSecurity命令后，受控設(shè)備的后門(mén)鉤子將調(diào)用SpAcceptLsaModeContext函數(shù)，使得該函數(shù)傳遞的憑據(jù)有效，然后系統(tǒng)將提供對(duì)客戶(hù)端的受保護(hù)對(duì)象的訪問(wèn)權(quán)限。

使用DarkPulsar

Darkpulsar-1.1.0.exe提供基于“一個(gè)命令+一次啟動(dòng)”原則構(gòu)建的管理界面。要執(zhí)行的命令必須在配置文件Darkpulsar-1.1.0.9.xml中指定，或者作為命令行參數(shù)指定，至少詳細(xì)說(shuō)明：

目標(biāo)機(jī)器是使用32位還是64位系統(tǒng)；

協(xié)議（支持SMB、NBT、SSL、RDP協(xié)議）以提供命令和端口號(hào)；

用于解密會(huì)話AES密鑰的私有RSA密鑰。

Darkpulsar-1.1.0是Fuzzbunch框架的插件，可以管理參數(shù)和協(xié)調(diào)不同的組件。以下是Fuzzbunch中的DisableSecurity命令實(shí)例：

下面是運(yùn)行DisableSecurity之后的進(jìn)程表實(shí)例，允許執(zhí)行任何沒(méi)有有效憑據(jù)的插件，并通過(guò)常規(guī)系統(tǒng)功能（遠(yuǎn)程注冊(cè)表服務(wù)）進(jìn)行操作：

   

DanderSpritz

DanderSpritz是用于控制受感染機(jī)器的框架，與FuZZbuNch不同，因?yàn)楹笳邽榫哂刑囟üδ艿暮笃陂_(kāi)發(fā)階段提供了部分工具包，例如DisableSecurity和DarkSeuls的EnableSecurity。

DanderSpritz適用于更大范圍的后門(mén)，在受控設(shè)備中使用PeedleCheap來(lái)啟動(dòng)攻擊者的惡意軟件。PeddleCheap是DanderSpritz的插件，可用于配置植入軟件并連接到受感染的機(jī)器。建立連接后，所有DanderSpritz后期開(kāi)發(fā)功能均可用。

這就是EDFStagedUpload模式中的DarkPulsar通過(guò)植入惡意軟件感染設(shè)備的渠道：PCDllLauncher（Fuzzbunch的插件）在受控設(shè)備一側(cè)部署PeddleCheap植入軟件，DanderSpritz提供用戶(hù)友好的開(kāi)發(fā)界面。所以，PCDllLauncher的全名是'PeddleCheap DLL Launcher'。

整合DanderSpritz方案、PeddleCheap插件、DarkPulsar插件和PCDllLauncher到一起實(shí)現(xiàn)惡意功能共包含四個(gè)步驟：

通過(guò)FuZZbuNch，運(yùn)行命令EDFStagedUpload以啟動(dòng)DarkPulsar。

在DanderSpritz中，運(yùn)行命令pc_prep（PeedelCheap Preparation）以準(zhǔn)備惡意代碼和要啟動(dòng)的庫(kù)文件。

在DanderSpritz中，運(yùn)行命令pc_old（這是命令pc_listen -reuse -nolisten -key默認(rèn)的別名），這會(huì)將其設(shè)置為等待來(lái)自Pcdlllauncher的socket。

通過(guò)FuZZbuNch啟動(dòng)Pcdlllauncher并指定使用ImplantFilename參數(shù)中的命令pc_prep準(zhǔn)備的有效路徑。

DanderSpritz

文件系統(tǒng)插件

總結(jié)

FuzzBunch和DanderSpritz框架提供了很大的靈活性，包含諸多專(zhuān)為不同任務(wù)設(shè)計(jì)的插件，比如說(shuō)FuzzBunch插件負(fù)責(zé)監(jiān)控和攻擊設(shè)備，DanderSpritz框架中的插件則是為管理已感染的受害者而開(kāi)發(fā)的。

DarkPulsar后門(mén)的發(fā)現(xiàn)有助于理解它作為兩個(gè)泄露框架之間的橋梁作用，以及它們?nèi)绾纬蔀橥还羝脚_(tái)的一部分。這些平臺(tái)是為長(zhǎng)期潛伏攻擊而設(shè)計(jì)的，從DarkPulsar的持久性和潛伏能力（例如將其流量封裝到合法協(xié)議中并繞過(guò)密碼保護(hù)以通過(guò)身份驗(yàn)證）可以看出背后的開(kāi)發(fā)者非常之專(zhuān)業(yè)。

檢測(cè)惡意網(wǎng)絡(luò)活動(dòng)

在受感染的計(jì)算機(jī)中執(zhí)行EDFStagedUpload時(shí)，會(huì)建立永久連接，這是出現(xiàn)端口445流量的原因。lsass.exe中還出現(xiàn)了一對(duì)綁定的socket：

當(dāng)DanderSpritz通過(guò)PcDllLauncher插件部署PeddleCheap的惡意代碼時(shí)，網(wǎng)絡(luò)活動(dòng)會(huì)急劇增加：

當(dāng)終止與受感染計(jì)算機(jī)的連接時(shí)，網(wǎng)絡(luò)活動(dòng)將停止，并且只保留lsass.exe中兩個(gè)綁定socket：

IOC

植入 - 96f10cfa6ba24c9ecd08aa6d37993fe4

文件路徑 - ％SystemRoot％\ System32 \ sipauth42.tsp

注冊(cè)表 - HKLM \Software\Microsoft\Windows\CurrentVersion\Telephony\Providers

關(guān)于NSA新型APT框架DarkPulsar怎么用就分享到這里啦，希望上述內(nèi)容能夠讓大家有所提升。如果想要學(xué)習(xí)更多知識(shí)，請(qǐng)大家多多留意小編的更新。謝謝大家關(guān)注一下創(chuàng)新互聯(lián)網(wǎng)站！

當(dāng)前標(biāo)題：NSA新型APT框架DarkPulsar怎么用
分享路徑：http://chinadenli.net/article6/ppssig.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供關(guān)鍵詞優(yōu)化、小程序開(kāi)發(fā)、建站公司、網(wǎng)站策劃、微信小程序、網(wǎng)站排名

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)