Gootloader 演练
Gootloader,测试于 2024 年 5 月 21 日
分发(SEO poisoning->fake forum->zip->。JS->PowerShell)
大量合法网站已被入侵,并被威胁行为者用来分发 Gootloader。该技术被称为搜索引擎优化 (SEO) 中毒,受害者搜索特定关键字并获取指向搜索结果页面 (SERP) 中那些受感染网站的链接。该恶意软件是从虚假论坛页面下载的,并导致执行脚本,然后回调命令和控制服务器。然后,攻击者可以部署进一步的工具来泄露数据或执行他们喜欢的任何其他操作。为了重播 Gootloader 链,我们首先要搜索关键字“合约”:
我们访问了排名靠前的结果,并立即被重定向到一个看起来像论坛帖子的诱饵页面:
诱饵在下载链接中,据说来自该网站的管理员。值得注意的是,相同的诱饵模板已经使用了多年,因此是一个很好的视觉提示,表明 Gootloader 妥协。下载是一个包含单个 JavaScript 文件的 zip 存档:
威胁参与者使用混淆技术,并将恶意代码与合法部分混合,以隐藏文件的意图:
Process flow
第一个恶意脚本负责通过任务计划程序创建持久性。登录时,将执行位于 %appdata%\Roaming 下路径中的第二个脚本。
最后,执行 PowerShell 时会尝试连接到威胁参与者的命令和控制服务器。
总结
网络流量
Process flow
wscript.exe "C:\Users\Admin\AppData\Local\Temp\call and put contracts 16318.js"
C:\Windows\system32\wscript.EXE GLOBAL~1.JS
"C:\Windows\System32\cscript.exe" "GLOBAL~1.JS"
powershell
保护
ThreatDown EDR 记录了以下事件:
恶意 JavaScript
PowerShell 执行
缓解措施
Gootloader 继续通过利用在 Google 搜索结果中排名靠前的受感染网站来瞄准企业用户。这种技术被称为SEO中毒,是涉及社会工程的感染链的第一步。
脚本执行监控对于检测初始访问和阻止恶意软件回调其恶意基础架构至关重要。与 Gootloader 的 C2 服务器保持同步还使组织能够防止数据泄露。
妥协指标 (IOC)
Gootloader zip 网址
clintkustoms[.]com/manual.php
Zip
Call_and_put_contracts_70199.zip2efabb155d9d8fc56b5eb3dfdc83b3f3f9099a7c0bc87ff8f9b7550d587d5b35
脚本
call and put contracts 16318.js
f8f3fa45eced0c32fbbf912f3f8ba6100a8b59e14f12a125c88340a47cf7e57b
任务计划程序脚本
GLOBAL~1.JS
a92381a403a1463b64ebc547de7ec2a4225a7755d23c4e56503582b9cb33c3c8
C2s
virdo[.]ir
shoreditchtownhall[.]com
spst[.]in
budgetvm[.]com
montebello6[.]se
sachverstaendiger-fenster[.]net
ashleyhomeonline[.]com
pureapks[.]xyz
ebtekarsteel[.]com
theclose[.]com
参考链接: https://www.threatdown.com/blog/gootloader-05-23-2024/
图片来源网络侵权可联系删除