Cek Flash Player
Cek Flash Player – Kami telah menemukan malware baru yang menargetkan perusahaan perjudian online di China melalui serangan lubang air, di mana pengunjung ditipu untuk mengunduh pemuat malware yang menyamar sebagai penginstal sah untuk aplikasi terkenal seperti Adobe Flash Player atau Microsoft Silverlight.
Kami telah menemukan malware baru yang menargetkan perusahaan perjudian online di China melalui serangan lubang air, di mana pengunjung ditipu untuk mengunduh pemuat malware yang menyamar sebagai penginstal sah untuk aplikasi terkenal seperti Adobe Flash Player atau Microsoft Silverlight. Pemeriksaan lebih dekat terhadap loader mengungkapkan bahwa ia memuat baik kode shell Cobalt Strike atau backdoor yang sebelumnya tidak terdokumentasi yang ditulis dengan Python, jenis malware baru yang kami temukan disebut BIOPASS RAT (Remote Access Trojan).
Cek Flash Player
BIOPASS RAT memiliki fitur utama yang ditemukan di malware lain, seperti analisis sistem file, akses desktop jarak jauh, eksfiltrasi file, dan eksekusi perintah shell. Ia juga memiliki kemampuan untuk mengkompromikan informasi pribadi korbannya dengan mencuri browser web dan data klien pesan instan.
Is It Just Me Or Aram Is Getting More Toxic
Yang sangat menarik dari BIOPASS RAT adalah ia dapat mengintai layar korbannya dengan menyalahgunakan kerangka kerja Open Broadcaster Software (OBS) Studio, aplikasi live streaming dan perekaman video yang populer, untuk membuat siaran langsung di layanan cloud melalui waktu nyata. . protokol pengiriman pesan waktu (RTMP). Selain itu, serangan tersebut mengeksploitasi Object Storage Service (OSS) (Aliyun) Alibaba Cloud untuk meng-host skrip Python BIOPASS RAT serta menyimpan data yang dieksfiltrasi dari korban.
Kami percaya bahwa BIOPASS RAT masih dalam pengembangan aktif. Misalnya, beberapa penanda yang kami temukan dalam analisis kami merujuk pada versi kode RAT yang berbeda, seperti “V2” atau “BPSV3”. Banyak pemuat yang kami temukan digunakan untuk memuat kode shell Cobalt Strike secara default, bukan malware BIOPASS RAT. Selanjutnya, RAT BIOPASS juga membuat tugas terjadwal untuk memuat kode shell Cobalt Strike selama startup, yang menunjukkan bahwa aktor jahat di balik serangan tersebut sangat bergantung pada Cobalt Strike.
Kami juga menemukan beberapa petunjuk yang menunjukkan bahwa malware tersebut mungkin terkait dengan Grup Winnti (juga dikenal sebagai APT41).
Dalam entri blog ini, kami menyelam lebih dalam ke BIOPASS RAT dengan analisis teknis terperinci dari rantai infeksi, berbagai komponen malware, dan kemungkinan koneksi ke Winnti.
Cara Cek Adobe Flash Player Di Chrome
Mekanisme pengiriman awal BIOPASS RAT menggunakan waterhole, situs web yang disusupi di mana aktor jahat menyuntikkan kode JavaScript khusus mereka untuk mengirimkan malware. Dalam kebanyakan kasus yang telah kita lihat, penyerang biasanya menempatkan skrip injeksi mereka di situs obrolan online target mereka.
Skrip yang disematkan akan mencoba memindai host yang terpengaruh dengan mengirimkan permintaan HTTP ke daftar port. Jika menerima respons apa pun dengan string yang diharapkan dari port ini, skrip akan berhenti. Langkah ini mungkin dirancang untuk menghindari menyerang korban yang sudah terinfeksi.
Kami menemukan bahwa BIOPASS RAT mampu membuka layanan HTTP yang berjalan di localhost pada port yang dipilih dari daftar hard-coded. Fungsionalitas ini memungkinkan skrip untuk menentukan apakah korban telah terinfeksi malware mereka. Itu melakukan identifikasi dengan menguji apakah port terbuka atau tidak dan kemudian memeriksa responsnya.
Jika skrip mengonfirmasi bahwa pengunjung tidak terinfeksi, skrip akan mengganti konten halaman asli dengan konten penyerang itu sendiri. Halaman baru akan menampilkan pesan kesalahan dengan instruksi yang memberi tahu pengunjung situs web untuk mengunduh penginstal Flash atau Silverlight, yang keduanya merupakan pemuat berbahaya. Penting untuk dicatat bahwa Adobe Flash dan Microsoft Silverlight tidak lagi digunakan oleh vendor masing-masing.
Cek Galaxy Z Fold3 5g Spek & Fitur
Aplikasi yang diketahui sah diunduh dan dijalankan. File yang ditandatangani kode autentik dapat diunduh dari situs web resmi (seperti yang terlihat pada contoh c47fabc47806961f908bed37d6b1bbbfd183d564a2d01b7cae87bd95c20ff8a5) atau ditemukan di akun OSS penyerang Alibaba Cloud.
File-file ini juga terletak di Alibaba Cloud OSS di akun yang dikendalikan oleh penyerang. Runtime Python pada dasarnya adalah file ZIP dengan semua executable yang diperlukan, serta pustaka DLL dan Python yang diperlukan untuk menjalankan skrip Python pada mesin di mana Python tidak diinstal.
Tugas yang direncanakan dibuat dan diaktifkan dengan login baru. Tugas-tugas ini dapat menjalankan backdoor BPS atau pemuat Cobalt Strike.
Kami juga memperhatikan string jalur “ServiceHub”, yang merupakan jalur ke runtime Python yang diekstraksi. Setelah decoding argumen heksadesimal, kami mendapatkan Python one-liner yang mengunduh skrip Python tambahan dari cloud.
Cara Menyembunyikan Like Instagram Di Iphone ⋆ Simaktekno
Kami mengamati bagaimana beberapa tugas yang direncanakan dibuat, dan jumlahnya bergantung pada sampel yang dianalisis. Di bagian selanjutnya, kami memberikan ulasan untuk setiap modul backdoor penting.
Salah satu modul yang digunakan disebut “cdaemon”. Selama penyelidikan kami terhadap ancaman ini, hanya perintah “print(1)” yang dapat dijalankan. Modul sampel lama (30ccfbf24b7c8cc15f85541d5ec18feb0e19e75e1e4d2bca9941e6585dad7bc7) mungkin adalah pengawas untuk memeriksa status modul lain yang dikenal sebagai “c1222”.
Pelaku jahat dapat mengubah perilaku ini dengan mengubah konten layanan cloud cdaemon.txt sehingga bila digabungkan dengan eksekusi tugas yang dijadwalkan secara rutin, tugas cdaemon dapat bertindak sebagai pintu belakang.
Tugas terjadwal kedua disebut “c1222.txt”, yang merupakan kode Python yang berjalan pada runtime Python yang diunduh sebelumnya. Kode ini memulai server HTTP yang mendengarkan pada port yang telah ditentukan. Jika diakses oleh klien HTTP, ia mengembalikan nilai penanda.
Overview Of Yaten’s New Spiral. Overall Pretty Solid As He Can Spam His 2.8k S1 More, But Lacks Dispel/aoes And Still Gets Hurt By Nihil.
Setelah mengakses komputer yang terinfeksi dengan server HTTP yang terikat ke port yang telah ditentukan, modul mengembalikan nilai penanda.
Kami juga melihat penanda lain — seperti “cs_online”, “online” dan “dm_online”. Tujuan dari layanan HTTP adalah untuk bertindak sebagai penanda bagi mesin yang terinfeksi untuk mencegah infeksi ulang, seperti yang disebutkan di atas pada bagian rantai infeksi. Tugas paling penting dari skrip c1222 adalah mengunduh, mendekode, dan menjalankan shellcode Cobalt Strike. Berdasarkan platform, ia mengunduh file yang disandikan dengan shellcode (sc3.txt, x64.txt) dan kemudian men-decode-nya (shellcodenya adalah base85 dan dikodekan dengan hex).
Tugas terjadwal ketiga — disebut “big.txt” — bertanggung jawab untuk menyebarkan malware BIOPASS RAT. Ini adalah backdoor berbasis Python yang didistribusikan dalam teks biasa atau dibundel dengan Nuitka atau PyArmor dan PyInstaller.
Saat malware berjalan, ia mencari file dengan nama hardcode “%PUBLIC%/20200318”. File ini adalah tanda untuk menentukan apakah tugas pintu belakang terjadwal telah diinstal.
Biopass Rat New Malware Sniffs Victims Via Live Streaming
Jika file (atau penanda) tidak ditemukan, pintu belakang akan membuat yang baru dan menulis stempel waktu saat ini padanya. Malware kemudian menghapus tugas terjadwal yang ditambahkan oleh loader dan menambahkan dua tugas terjadwal baru yang tercantum dalam Tabel 1.
Menjalankan Python dengan parameter skrip Python untuk mengunduh dan menjalankan skrip Cobalt Strike untuk memuat modul “c1222”
Python dieksekusi dengan satu parameter skrip Python untuk mengunduh dan menjalankan modul “besar” skrip BIOPASS RAT
Malware BIOPASS RAT memuat skrip Python, “online.txt” yang membuka server HTTP yang mendengarkan salah satu nomor port berikut: 43990, 43992, 53990, 33990, 33890, 48990, 12880, 22880, 42880 , 42880 , atau 62880 Server HTTP tidak melakukan apa pun selain mengembalikan string “BPSV3” saat diminta.
Reset Card Pin
Server HTTP lain juga akan dibuat untuk mendengarkan pada salah satu nomor port di atas. Server HTTP kedua berperilaku seperti yang pertama, tetapi mengembalikan string, “dm_online” sebagai gantinya. Ini adalah penanda infeksi seperti yang disebutkan sebelumnya. Setelah server aktif dan berjalan, backdoor akan membuat direktori root yang dapat dieksekusi di folder “%PUBLIC%/BPS/V3/”.
Jika malware mendeteksi bahwa nama pengguna sistem adalah “vbccsb”, itu akan berhenti. Perlu dicatat bahwa “vbccsb” adalah nama pengguna default di ThreatBook Cloud Sandbox, alternatif populer untuk VirusTotal di Cina.
Jika pintu belakang menemukan file “debug” di dalam direktori root, itu akan menunggu 130 detik dan kemudian melanjutkan eksekusi.
Pintu belakang kemudian mencoba membaca file “bps.key” di dalam direktori root. File ini berisi ID korban yang ditetapkan oleh server command and control (C&C). Jika file belum dibuat, ID korban akan disetel ke null hingga server C&C mengalokasikannya.
Cara Mudah Cek Bit Laptop Simple Tidak Ribet
Pada akhir inisialisasi, ia mengumpulkan informasi tentang sistem korban dan menginisialisasi nilai dalam variabel konfigurasi global yang berisi informasi konfigurasi penting. Ini termasuk versi pintu belakang (kami melihat V2 dan V3), kunci akses, alamat titik akhir, nama wadah untuk Alibaba Cloud OSS, dan URL untuk mengunduh utilitas sc.exe yang digunakan untuk tangkapan layar.
Pintu belakang berkomunikasi dengan server C&C menggunakan protokol Socket.io. Komunikasi C&C dienkripsi menggunakan algoritma AES ECB menggunakan hard-coded password, kompresi ZLIB dan encoding base85.
Gambar 18 dan 19 menunjukkan bagaimana malware mengirimkan peristiwa “gabung” untuk memulai komunikasi C&C dan melampirkan data terenkripsi korban.
Gambar 19. Decode “join” event yang dikirim ke server C&C. Penting untuk dicatat bahwa karakteristik seperti alamat IP, komputer dan nama pengguna, arsitektur, antivirus yang diinstal, dan geolokasi disertakan.
Player Games Tagged
1. Handler “beri tahu” digunakan untuk memverifikasi koneksi ke server C&C. Pintu belakang mengirim secara teratur
Cek versi flash player, adobe flash player update, flash player, cara cek flash player, upgrade adobe flash player, download flash player chrome, install adobe flash player, free adobe flash player, instal adobe flash player, get adobe flash player, flash player activex control, adobe flash player chrome