关于ZAKER 融媒体解决方案 合作 加入
51CTO 09-17

CISA 披露了伊朗黑客使用的 Web Shell 详细信息

作者:佚名来源:|2020-09-17 14:57

收藏

分享

当地时间 9 月 15 日,美国网络安全和基础设施安全局 ( CISA ) 发布了一份恶意软件分析报告 ( MAR ) ,该报告详细介绍了 19 个恶意文件的细节,其中包含有关伊朗黑客使用的 Web Shell 的技术细节。

Web Shell 是一种用典型的 Web 开发编程语言 ( 例如 ASP,PHP,JSP ) 编写的代码,攻击者将其植入 Web 服务器上以获得远程访问和代码执行。Web Shell 让攻击者可以传递和执行 JavaScript 代码,这些代码可用于枚举目录,执行有效负载及泄露数据。

根据 CISA 的报告,来自匿名 APT 组织的伊朗黑客正在利用几个已知的 Web Shell,对美国各地的 IT,政府,医疗,金融和保险组织进行攻击。他们利用了 Pulse Secure 虚拟专用网, Citrix ADC 以及 F5 ’ s BIG-IP ADC 产品中的漏洞进行攻击,使用的恶意软件包括 ChunkyTuna,Tiny 和 China Chopper。

几周前,有研究人员透露,这个伊朗 APT 组织名为 "Pioneer Kitten",又名 Fox Kitten 或 Parisite。该组织现在正试图通过将其已入侵的某些网络的访问权出售给其他黑客来获利。过去的几个月,他们一直在攻击虚拟专用网服务器。

此外,CISA 专家也分析了程序数据 ( PDB ) 文件和二进制文件,这些文件已被识别为开源项目 " FRP" 的编译版本。FRP 可以使攻击者通过隧道,将各种类型的连接建立到目标网络范围之外的远程操作员。该报告还分析了作为 KeeThief 开源项目一部分的 PowerShell 脚本,该脚本可让攻击者访问 Microsoft" KeePass" 密码管理软件存储的加密密码凭据。

攻击者利用了这些恶意工具来维护持久的远程访问,并从受害者的网络中泄漏数据。他们可能已经使用了 " FRP" 实用程序来建立出站远程桌面协议 ( RDP ) 会话的隧道,以支持从防火墙外对网络进行持久访问。

该报告还详细介绍了另外 7 个文件,其中包含用作恶意 Web Shell 的恶意超文本预处理器 ( PHP ) 代码,被标识为 ChunkyTuna 和 Tiny Web Shell。这两个 Web Shell 均可接受远程命令和数据,所以操作者可以远程控制受感染的系统。

参考来源:

https://securityaffairs.co/wordpress/108357/malware/cisa-web-shells-iranian-hackers.html

【责任编辑:赵宁宁 TEL:(010)68476606】

点赞 0

CISA

分享 :

大家都在看猜你喜欢

以上内容由"51CTO"上传发布 查看原文

最新评论

没有更多评论了