NSA新型APT框架DarkPulsar怎么用

前言

2017年3月,ShadowBrokers放出了一份震惊世界的机密文档,其中包括两个框架:DanderSpritz和FuzzBunch。

DanderSpritz完全由插件组成,用于收集情报、利用漏洞和操控已接管的设备。它基于Java编写,提供类似于僵尸网络管理面板的图形界面以及类似Metasploit工具的控制面板。它还整合了用于非FuzzBunch受控设备的后门和插件。

NSA新型APT框架DarkPulsar怎么用

DanderSprit界面

概述

Fuzzbunch为不同的实用程序提供了一个用于交互和协同工作的框架,包含各种类型的插件,其目的是分析对象、利用漏洞、植入任务等。FuzzBunch框架插件包中的文件分为三种类型:

%pluginName%-version.fb

这是框架的实用程序文件。它从XML复制标头并包含插件的ID。

%pluginName%-version.exe

当FuZZbuNch收到执行命令时,运行此可执行文件。

%pluginName%-version.xml

此配置文件描述了插件的输入和输出参数的名称、类型和描述。这些信息都可以通过FuzzBunch界面显示。这种文件类型划分规范了默认参数的设置,从而提升了框架的可用性。

ImplantConfig是一个Fuzzbunch可调用的工具包,包含一个名为DarkPulsar的管理模块,用于管理受控设备的插件,用于控制名为“sipauth42.tsp”的远程控制后门。

它支持以下命令:

BurnRawShellcodeEDFStagedUploadDisableSecurityEnableSecurityUpgradeImplantPingPong

Burn、RawShellcode、UpgradeImplant和PingPong支持移除/升级植入软件、运行任意代码和检查后门是否已安装在远程机器上,其他命令的目的暂不明确。

卡巴斯基实验室在分析DarkPulsar时发现了几个用于加密C&C和植入软件之间流量的常量:

NSA新型APT框架DarkPulsar怎么用

卡巴斯基认为这些常量可以作为进一步深入调查的抓手,所以构建了一个检测器。几个月后,神秘的DarkPulsar后门浮出水面,而且包含32位和64位版本。研究人员发现大约50个案例,分别位于俄罗斯、伊朗和埃及,常见感染Windows 2003/2008服务器,涉及核能电信IT航空航天研发等领域。

DarkPulsar技术亮点

DarkPulsar植入的是一个动态库文件,从其工作负载导出的函数来看可以实现以下几类功能:

两个匿名函数用于在系统中安装后门。

名称与TSPI(电话服务提供程序接口)操作相关的函数,用于确保后门存在于自动运行列表中并自动启动。

名称与SSPI(安全支持提供程序接口)操作相关的函数,主要用于运行恶意代码。

SSPI和TSPI接口的实现很简单,使得DarkPulsar导出的函数与接口函数的名称相同即可,只不过用恶意代码替代了正确的电话服务。

这个动态库通过匿名函数安装在系统中,调用具有管理员权限的Secur32.AddSecurityPackage以及参数中它自己库的路径来启动后门,使得lsass.exe将DarkPulsar加载为SSP/AP并调用其导出的函数SpLsaModeInitialize,由DarkPulsar初始化后门。其中AddSecurityPackage用于将代码注入到lsass.exe。它还在HKLMSoftwareMicrosoftWindowsCurrentVersionTelephonyProviders中添加了其库文件名。

这样一来Telephony API(TapiSrv)开始加载随着远程访问连接管理器(RasMan)服务启动开始加载,将该启动类型设置为“自动”。加载电话服务提供商的库时,TapiSrv调用TSPI_lineNegotiateTSPIVersion,其中包含AddSecurityPackage调用以将恶意代码注入到lsass.exe中。

DarkPulsar通过为SpAcceptLsaModeContext(负责身份验证的函数)安装钩子来实现恶意功能。此类注入行为在进程lsass.exe中的多个系统身份验证数据包中进行,并允许Darkpulsar根据以下协议控制身份验证过程:

1、Msv1_0.dll – 用于NTLM协议,

2、Kerberos.dll – 用于Kerberos协议,

3、Schannel.dll – 用于TLS / SSL协议,

4、Wdigest.dll – 用于摘要协议,

5、Lsasrv.dll-用于谈判协议。

在完成这个过程之后,Darkpulsar能够将恶意软件流量嵌入到系统协议中。由于此类网络活动是根据系统标准进行的,因此它只会反映在系统进程中,也就是说它使用了为上述协议保留的系统端口,而不会妨碍其正常运行。

NSA新型APT框架DarkPulsar怎么用

成功连接到DarkPulsar植入软件的网络流量

控制身份验证过程的第二个优势是可以绕过输入用户名和密码保护,以获取对需要身份验证的对象的访问权限,例如进程列表、远程注册表、SMB文件系统。发送Darkpulsar的DisableSecurity命令后,受控设备的后门钩子将调用SpAcceptLsaModeContext函数,使得该函数传递的凭据有效,然后系统将提供对客户端的受保护对象的访问权限。

使用DarkPulsar

Darkpulsar-1.1.0.exe提供基于“一个命令+一次启动”原则构建的管理界面。要执行的命令必须在配置文件Darkpulsar-1.1.0.9.xml中指定,或者作为命令行参数指定,至少详细说明:

目标机器是使用32位还是64位系统;

协议(支持SMB、NBT、SSL、RDP协议)以提供命令和端口号;

用于解密会话AES密钥的私有RSA密钥。

Darkpulsar-1.1.0是Fuzzbunch框架的插件,可以管理参数和协调不同的组件。以下是Fuzzbunch中的DisableSecurity命令实例:

NSA新型APT框架DarkPulsar怎么用

下面是运行DisableSecurity之后的进程表实例,允许执行任何没有有效凭据的插件,并通过常规系统功能(远程注册表服务)进行操作:

NSA新型APT框架DarkPulsar怎么用

DanderSpritz

DanderSpritz是用于控制受感染机器的框架,与FuZZbuNch不同,因为后者为具有特定功能的后期开发阶段提供了部分工具包,例如DisableSecurity和DarkSeuls的EnableSecurity。

DanderSpritz适用于更大范围的后门,在受控设备中使用PeedleCheap来启动攻击者的恶意软件。PeddleCheap是DanderSpritz的插件,可用于配置植入软件并连接到受感染的机器。建立连接后,所有DanderSpritz后期开发功能均可用。

这就是EDFStagedUpload模式中的DarkPulsar通过植入恶意软件感染设备的渠道:PCDllLauncher(Fuzzbunch的插件)在受控设备一侧部署PeddleCheap植入软件,DanderSpritz提供用户友好的开发界面。所以,PCDllLauncher的全名是’PeddleCheap DLL Launcher’。

整合DanderSpritz方案、PeddleCheap插件、DarkPulsar插件和PCDllLauncher到一起实现恶意功能共包含四个步骤:

通过FuZZbuNch,运行命令EDFStagedUpload以启动DarkPulsar。

在DanderSpritz中,运行命令pc_prep(PeedelCheap Preparation)以准备恶意代码和要启动的库文件。

在DanderSpritz中,运行命令pc_old(这是命令pc_listen -reuse -nolisten -key默认的别名),这会将其设置为等待来自Pcdlllauncher的socket。

通过FuZZbuNch启动Pcdlllauncher并指定使用ImplantFilename参数中的命令pc_prep准备的有效路径。

NSA新型APT框架DarkPulsar怎么用

DanderSpritz

NSA新型APT框架DarkPulsar怎么用

文件系统插件

总结

FuzzBunch和DanderSpritz框架提供了很大的灵活性,包含诸多专为不同任务设计的插件,比如说FuzzBunch插件负责监控和攻击设备,DanderSpritz框架中的插件则是为管理已感染的受害者而开发的。

DarkPulsar后门的发现有助于理解它作为两个泄露框架之间的桥梁作用,以及它们如何成为同一攻击平台的一部分。这些平台是为长期潜伏攻击而设计的,从DarkPulsar的持久性和潜伏能力(例如将其流量封装到合法协议中并绕过密码保护以通过身份验证)可以看出背后的开发者非常之专业。

检测恶意网络活动

在受感染的计算机中执行EDFStagedUpload时,会建立永久连接,这是出现端口445流量的原因。lsass.exe中还出现了一对绑定的socket:

NSA新型APT框架DarkPulsar怎么用

当DanderSpritz通过PcDllLauncher插件部署PeddleCheap的恶意代码时,网络活动会急剧增加:

NSA新型APT框架DarkPulsar怎么用

当终止与受感染计算机的连接时,网络活动将停止,并且只保留lsass.exe中两个绑定socket:

NSA新型APT框架DarkPulsar怎么用

IOC

植入 – 96f10cfa6ba24c9ecd08aa6d37993fe4

文件路径 – %SystemRoot% System32 sipauth42.tsp

注册表 – HKLM SoftwareMicrosoftWindowsCurrentVersionTelephonyProviders

关于NSA新型APT框架DarkPulsar怎么用就分享到这里啦,希望上述内容能够让大家有所提升。如果想要学习更多知识,请大家多多留意小编的更新。谢谢大家关注一下亿速云网站!

文章标题:NSA新型APT框架DarkPulsar怎么用,发布者:亿速云,转载请注明出处:https://worktile.com/kb/p/28058

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
亿速云的头像亿速云
上一篇 2022年9月21日 下午10:40
下一篇 2022年9月21日 下午10:41

相关推荐

  • 猫鼠服务器是什么公司

    猫鼠(Cats and Mouse)服务器可能是您要询问的一种服务器类型,或者是一个特定服务器名称的误解,但在知识库中并无明确的记录表示猫鼠服务器代表着一个具体的公司。如果您是在询问一个公司或品牌名为“猫鼠”的服务器供应商,可能需要提供更多信息或者具体的上下文才能得出准确答案。如果您实际上指的是一个…

    2024年4月25日
    8200
  • 推理服务器作用是什么

    摘要 推理服务器的作用是1、执行模型推理任务、2、优化推理性能、3、降低延迟、4、提高吞吐量、5、支持多种模型格式、6、提供模型管理与扩展功能。 在这些核心功能中,优化推理性能尤为关键,因为它直接关系到模型部署后的效率和稳定性。推理服务器通过使用专门的算法和硬件加速技术,大幅提高处理速度,同时保持高…

    2024年4月25日
    10500
  • 服务器管理的好处是什么

    摘要 服务器管理的好处包括: 1.提高安全性、2.增强性能、3.确保数据完整性、4.优化资源利用,等重要方面。特别是提高安全性,这是服务器管理中的关键部分,为防止未授权访问、数据泄露和其他潜在威胁,定期对服务器进行维护和更新至关重要。此外,安装安全软件、监控系统漏洞、及时打补丁和执行严格的访问控制策…

    2024年4月25日
    9000
  • 云服务器存储资料是什么

    摘要 云服务器存储资料是1、通过网络访问的远程服务器上存储的数据,其依赖于2、云计算技术,使得数据存取更加灵活和高效。在这两点中,通过网络访问的远程服务器存储意味着用户无需对物理硬件进行管理或投入高额的初期成本,而是通过互联网连接到远程数据中心,实现数据存储和管理。这种模式不仅降低了企业或个人的技术…

    2024年4月25日
    8600
  • 下挂的服务器叫什么

    摘要:下挂的服务器通常被称作1、边缘服务器或2、即服务外设。其中,边缘服务器主要用于提高网络服务的访问速度和提升用户体验。通过布局在接近最终用户的地理位置上,这种服务器能够缓存内容,减少数据传输的延迟,加快载入速度,有效缓解主服务器的负荷。边缘服务器尤其适用于内容交付网络(CDN)和大数据分析等场景…

    2024年4月25日
    10500
注册PingCode 在线客服
站长微信
站长微信
电话联系

400-800-1024

工作日9:30-21:00在线

分享本页
返回顶部