首页
社区
课程
招聘
[原创]对LiqunKit工具的调查与结论
发表于: 2021-12-3 20:36 17277

[原创]对LiqunKit工具的调查与结论

2021-12-3 20:36
17277

昨晚同事反馈了我一个消息,说是这个jar工具有后门,然后我就今天午休的时候午觉没睡就深入看了下。
图片描述
从网上找到一个报毒的文件,解压后查到一个可疑的hta文件,sethc.exe文件实际为cmd.exe程序,属于系统的正常文件。
图片描述
打开后发现实际运行的是powershell脚本内容:
图片描述
一层层解密得到如下:
图片描述
最终异或35后进行解码,分配内存执行shellcode。
图片描述
实际的shellcode如下,很明显的CS的shellcode特征。
图片描述
回连地址为time.date-windows.com,hta文件在野外最早出现时间为2021年5月12日,关联到多数据库利用工具MDUT,时间是2021年6月17日。
图片描述
图片描述
time.date-windows.com早已经过期了,但是昨天11月30日又被人重新注册了。
图片描述
图片描述
后续LiqunKit作者也发了更新,表示是从MDUT工具直接克隆过来的,这个文件LiqunKit作者自己也不清楚。
图片描述
然后就是一个劲的怀疑,甚至于不调查就开始下阴谋论的结论。
图片描述
图片描述
图片描述
后续经过与原作者的询问,发现是个意外事件,最初来源的项目里的hta文件没有被留意到,就一起打包上传了,也不是啥国外阴谋论。但是要注意的是这个文件是单独放置的,MDUT项目的逻辑里并没有代码会加载执行它,可以理解为一个被遗忘的测试文件(毕竟很多安全人员也会生成一些测试的payload),经过实际分析cs木马也很简单,回连域名早已经过期了,目前github项目已经删除了对应文件。
图片描述
整个事件的脉络如下:

 

安全群里突然讨论起了这个工具,然后被杀软检测报毒了,然后大家就吵起来了,毕竟是安全人员自己使用的工具里有了后门,所以比较敏感。

 

项目地址 https://github.com/Liqunkit/LiqunKit_

 

实际网上也没啥人认真回溯分析,然后就在猜测,最终还是今天才陆续有人发了一些文章用作分析结论。


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 2
支持
分享
最新回复 (1)
雪    币: 229
活跃值: (330)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
是啊   瞎带节奏的 最可恶
2021-12-22 23:49
0
游客
登录 | 注册 方可回帖
返回
//