【恶意文件】Gozilla插件投毒分析

逆向病毒分析 1年前 (2023) admin
153 0 0
【恶意文件】Gozilla插件投毒分析

恶意文件家族:

ShellcodeRunner

威胁类型:

后门

简单描述:

近日,深盾实验室在运营工作中发现攻击者通过Github发布带有后门的Godzilla插件。


恶意文件描述

近期,深盾实验室在运营工作中发现Github存在一个钓鱼项目,截止到分析日期已有96 stars,15forks。

【恶意文件】Gozilla插件投毒分析

恶意文件分析


Jar包分析


在jar包静态代码块中调用了SuoMemProxy::initView函数,并在initView函数中判断系统类型随后进入到suo5Version函数中

【恶意文件】Gozilla插件投毒分析


在suo5Version函数中首先从资源图片中提取压缩的字节码,再通过decodeGzipHex函数解压缩,随后将字节码转换为类并调用其中的run函数,可以在外部重写showIcon、decodeGzipHex函数之后将提取出来的class保存到文件中,保存之后反编译内容如下:

【恶意文件】Gozilla插件投毒分析


run函数中将变量var1解码之后保存到Temp目录下的microsoft10192*.cache该文件实际为attach.dll,之后通过System.load函数加载该文件,随后使用enqueue函数执行传入run函数的Shellcode。


Shellcode分析


将提取出来的shellcode转换成exe导入x64dbg中,发现shellcode存在大量解密行为,边解密边执行:


【恶意文件】Gozilla插件投毒分析


解密之后连接C2地址:45.76.176.189通过https访问/jquery-3.7.0.min.js


【恶意文件】Gozilla插件投毒分析
【恶意文件】Gozilla插件投毒分析


返回数据为html页面,猜测服务器数据已修改导致返回数据无效,而该样本则是持续向服务器发送请求。

IOC


https://45.76.176.189/jquery-3.7.0.min.js

https://45.76.176.189/jquery-3.8.0.min.js

FC0669C42C96FB9008FAAB07D5B8C4F3

9cb293e9438491d944ff9bad8643d6ff(白)

ac775fb845196b43396af1705ff9b5c3(白)

解放方案

【恶意文件】Gozilla插件投毒分析

处置建议


1、不要打开来历不明的邮件及其里面的附件或链接。

2、使用开源文件时先分析是否存在后门。

3、安装杀软并保持更新。

【恶意文件】Gozilla插件投毒分析

深信服解决方案


【深信服统一端点安全管理系统aES】

已支持查杀拦截此次事件使用的病毒文件,请更新软件(如有定制请先咨询售后再更新版本)和病毒库至最新版本,并接入深信服安全云脑,及时查杀新威胁;


【恶意文件】Gozilla插件投毒分析


【深信服下一代防火墙AF】的安全防护规则更新至最新版本,接入深信服安全云脑,“云鉴” 服务即可轻松抵御此高危风险。

【深信服安全感知管理平台SIP】建议用户及时更新规则库,接入深信服安全云脑,并联动【深信服下一代防火墙AF】实现对高危风险的入侵防护。

【深信服安全托管服务MSS】以保障用户网络安全“持续有效”为目标,通过将用户安全设备接入安全运营中心,依托于XDR安全能力平台和MSSP安全服务平台实现有效协同的“人机共智”模式,围绕资产、脆弱性、威胁、事件四个要素为用户提供7*24H的安全运营服务,快速扩展持续有效的安全运营能力,保障可承诺的风险管控效果。

【恶意文件】Gozilla插件投毒分析

原文始发于微信公众号(深信服千里目安全技术中心):【恶意文件】Gozilla插件投毒分析

版权声明:admin 发表于 2023年9月1日 下午6:07。
转载请注明:【恶意文件】Gozilla插件投毒分析 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...