昨晚同事反馈了我一个消息,说是这个jar工具有后门,然后我就今天午休的时候午觉没睡就深入看了下。 从网上找到一个报毒的文件,解压后查到一个可疑的hta文件,sethc.exe文件实际为cmd.exe程序,属于系统的正常文件。 打开后发现实际运行的是powershell脚本内容: 一层层解密得到如下: 最终异或35后进行解码,分配内存执行shellcode。 实际的shellcode如下,很明显的CS的shellcode特征。 回连地址为time.date-windows.com,hta文件在野外最早出现时间为2021年5月12日,关联到多数据库利用工具MDUT,时间是2021年6月17日。 time.date-windows.com早已经过期了,但是昨天11月30日又被人重新注册了。 后续LiqunKit作者也发了更新,表示是从MDUT工具直接克隆过来的,这个文件LiqunKit作者自己也不清楚。 然后就是一个劲的怀疑,甚至于不调查就开始下阴谋论的结论。 后续经过与原作者的询问,发现是个意外事件,最初来源的项目里的hta文件没有被留意到,就一起打包上传了,也不是啥国外阴谋论。但是要注意的是这个文件是单独放置的,MDUT项目的逻辑里并没有代码会加载执行它,可以理解为一个被遗忘的测试文件(毕竟很多安全人员也会生成一些测试的payload),经过实际分析cs木马也很简单,回连域名早已经过期了,目前github项目已经删除了对应文件。 整个事件的脉络如下:
安全群里突然讨论起了这个工具,然后被杀软检测报毒了,然后大家就吵起来了,毕竟是安全人员自己使用的工具里有了后门,所以比较敏感。
项目地址 9b6K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6x3K9i4q4#2L8X3E0A6N6q4)9J5c8V1I4A6M7i4g2F1d9$3W2@1i4K6g2X3
实际网上也没啥人认真回溯分析,然后就在猜测,最终还是今天才陆续有人发了一些文章用作分析结论。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课