Skip to content

ONHEXGROUP

اخبار دنیای امنیت سایبری

  • اخبار
    • آسیب پذیری امنیتی
    • آنالیز بدافزار
    • کنفرانس ،دوره ، وبینار ، لایو ، CTF
    • بازیگران تهدید
    • توسعه اکسپلویت
    • افشای اطلاعات
    • باگ بانتی
    • تیم آبی
    • تیم قرمز
    • امنیت وب
  • دوره های آموزشی
    • دوره رایگان مهندسی معکوس نرم افزار
  • لیست های ویژه
    • موتورهای جستجو برای امنیت سایبری
    • کاتالوگ KEV آژانس CISA
    • آسیب پذیری های وردپرس
      • آسیب پذیری پلاگین ها
      • آسیب پذیری های هسته
      • آسیب پذیری تم ها
    • محصولات خارج از پشتیبانی مایکروسافت
      • محصولات مایکروسافتی که در سال 2022 پشتیبانی نمیشن
      • محصولات مایکروسافتی که در سال 2023 پشتیبانی نمیشن
      • لیست محصولات مایکروسافتی که در سال 2024 پشتیبانی نمیشن
      • لیست محصولات مایکروسافتی که در سال 2025 پشتیبانی نمیشن
    • معرفی فیلم ها و سریالهای مرتبط با هک و امنیت
  • آموزش های ویدیویی
  • انتشارات
    • مجله
    • مقالات
    • پادکست
  • پروژه ها
    • ماشین آسیب پذیر
      • وردپرس آسیب پذیر
  • حمایت مالی ( Donate)
  • تماس با ما
 
  • Home
  • اخبار
  • آنالیز بدافزار
  • اخبار
  • بازیگران تهدید

Havoc فریمورک جدید برای Post Exploit

On بهمن 27, 1401فروردین 28, 1402
seyyid
Share
زمان مطالعه: 7 دقیقه

محققای Zscaler یه کمپینی رو مشاهده کردن که یه سازمان دولتی رو هدف قرار داده . در این کمپین بازیگران تهدید از یه فریمورک جدیدی بنام Havoc برای فرایند Post Exploit استفاده کردن.

در این خصوص یه گزارشی منتشر کردن و این ابزار رو بررسی کردن، که در این پست به بررسی این گزارش پرداختیم.

 

 

زنجیره آلودگی:

شکل زیر زنجیره آلودگی این بدافزار رو نشون میده :

 

havoc

 

بازیگران تهدید برای آلوده کردن سیستم با Havoc Demon یه فایل فشرده بنام ZeroTwo.zip رو ارسال کردن که حاوی دو فایل character.scr و Untitled Document.docx هستش.

فایل ورد حاوی توضیحاتی در خصوص یه شخصیت خیالی بنام ZeroTwo در انیمیشن Darling in the Franxx هستش.

فایل character.scr هم که یه فایل Screen Saver هستش در حقیقت یه دانلودر هست که Havoc Demon  رو دانلود میکنه. این فایل در حقیقت یه فایل BAT2EXE هستش که فایلهای BAT رو به EXE تبدیل میکنه.

 

bat2exe

 

بعد از اینکه این فایل اجرا شد ، Batch Script از قسمت rsrc دیکریپت میکنه.

 

Decrypted BAT Script

 

در نهایت این اسکریپت رو در فولدر Temp مینویسه و اجرا میکنه.

 

temp havoc

 

این اسکریپت بعد اجرا بررسی میکنه که آیا فایل teste.exe در فولدر temp وجود داره یا نه. اگه نبود ، اونو از طریق Invoke-WebRequest از آدرس زیر دانلود و با نام seethe.exe در این فولدر ذخیره و اجرا میکنه.

 

1
http[:]//146[.]190[.]48[.]229/pics.exe

 

havoc 1

 

در ادامه بررسی میکنه که آیا فایل testv.exe هم در فولدر temp وجود داره یا نه. اگه نه که از مسیر زیر یه عکسی رو دانلود میکنه و با نام imagez.jpg ذخیره و اجرا میکنه.

 

1
https[:]//i[.]pinimg[.]com/originals/d4/20/66/d42066e9f8c4b75a0723b8778c370f1d.jpg

 

havoc

 

این تصویر که شخصیت Zero Two هستش برای فریب کاربر هستش تا کاربر شک نکنه و عملیات مخفیانه ادامه داشته باشه.

 

Zero Two

 

 

فایل pics.exe در حقیقت Havoc Demon هستش. Havoc Demon فایل خروجی Havoc Framework هستش که یه ابزار پست اکسپلویت هستش و توسط C5pider توسعه داده شده.

این فایل (pics.exe) یه Shellcode Loader هستش که امضای مایکروسافت رو هم داره. بعد از اجرا اولین کاری که میکنه ETW رو از طریق EtwEventWrite ، که مسئولیت نوشتن رویدادها رو داره، غیر فعال میکنه.

 

havoc sign

 

این کار رو طبق مراحل زیر انجام میده :

  • از طریق GetModuleHandleA یه هندلر به ntdll.dll بدست میاره.
  • با استفاده از GetProcAddress آدرس EtwEventWrite رو بدست میاره.

 

havoc ntdll

 

  • همچنین با استفاده از VirtualProtect بخش محافظت شده رو تغییر داده و 4 بایت اول EtwEventWrite رو با مقادیر زیر جایگزین میکنه:

 

1
0x48,0x33,0xc0,0xc3 (xor rax,rax | ret)

 

havoc virtualalloc

 

در ادامه با استفاده از CryptDecrypt یه شلکد AES256 رو دیکریپت میکنه.

 

havoc shellcode

 

بعد از دیکیرپیت شدن ، با استفاده از CreateEventA یه event object بصورت signaled state ایجاد میشه، بعدش با استفاده از VirtualAlloc یه حافظه RWX تخصیص داده میشه و شلکد رو توش مینویسه. بعدش یه wait object ایجاد میکنه و در CreateThreadpoolWait که اولین آرگومانش یه callback function هستش آدرس شلکد قرار میده. بعدش wait object با TpSetWait تنظیم میکنه و WaitForSingleObject رو فراخوانی میکنه. با این فراخوانی callback function اجرا میشه که در حقیقت همون شلکد دیکریپت شده هستش.

 

havoc decrypt

 

شلکدی هم که اجرا میشه ، KaynLdr هستش که Havoc Demon DLL رو از طریق فراخوانی entrypoint function اش لوود و اجرا میکنه. وقتی شل کد اونو اجرا میکنه ، image base این Demon DLL که در داخل شلکد قرار گرفته رو با استفاده از تابع KaynCaller اجرا میکنه.

 

havoc KaynLdr

 

KaynLdr همچنین API Hashing routine رو هم برای تبدیل virtual addresses های NTAPI با استفاده از export address table در ntdll.dll انجام میده (تابع LdrFunctionAddr ) .

 

havoc API Hashing Routine

 

الگوریتم هش استفاده شده ، الگوریتم اصلاح شده DJB2 هستش با مقدار 5381 یا 0x1505 :

 

havoc DJB2

 

Demon DLL در مموری نگاشت میشه و base relocation در صورت نیاز با NtAllocateVirtualMemory محاسبه میشه. همچنین page protection رو از طریق فراخوانی های مختلف NtProtectVirtualMemory تغییر میده.

 

havoc NtProtectVirtualMemory

 

Demon DLL برای فرار از مکانیسم های امنیتی بدون هدر DOS و NT در حافظه نگاشت میشه.

 

havoc dos nt header

 

وقتی Demon DLL به مموری نگاشت شد ، KaynDllMain توسط KaynLdr اجرا میشه و کنترل به Havoc Demon DLL داده میشه.

 

havoc Demon DLL

 

با اجرای Havoc Demon DLL ، چهار تابع زیر توسط DemonMain اجرا میشه :

DemonInit
DemonMetaData
DemonConfig
DemonRoutine

 

تابع DemonInit کارایه اولیه رو انجام میده از جمله :

  • virtual address توابع مختلف در ماژولهایی مانند ntdll.dll و kernel32.dll رو از طریق API Hashing Routine بدست میاره.
  • Syscallها رو برای NTAPI های مختلف بدست میاره.
  • ماژولهای مختلف رو از طریق stacked strings لوود میکنه.
  • مقادیر Config Objects و Session مانند Demon AgentID و ProcessArch و … رو مقداردهی میکنه.

 

تابع DemonConfig عمل پیکربندی رو انجام میده. پیکربندی Demon در بخش .data ذخیره میشه. این تابع مقادیر پیکربندی رو از تجزیه این مقادیر بدست میاره.

 

havoc data section

 

پیکربندی مورد نظر در این کمپین اینجوری بوده :

 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
Configuration:
 
    Sleep: 2 (0x2)
    Injection:
        Allocate: Native/Syscall (0x2)
        Execute: Native/Syscall (0x2)
    Spawn:
        x64: C:\Windows\System32\notepad.exe
        x86: C:\Windows\SysWOW64\notepad.exe
    Sleep Obfuscation Technique: Ekko (0x2)
    Method: POST
    Host: 146[.]190[.]48[.]229
    Transport Secure: TRUE
    UserAgent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537/36 (KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36

 

havoc Demon Configuration

 

تابع DemonRoutine قسمت اصلی بدافزار هستش.  کارهایی که انجام میده :

  • در ابتدا چک میکنه که آیا به C2 متصل هست یا نه. اگه نه با استفاده از TransportInit به سرور متصل میشه.
  • اگه با موفقیت به سرور وصل بشه ، تابع CommandDispatcher رو اجرا میکنه که مسئول گرفتن دستورات و اجرای اوناست.

 

تابع TransportInit مسئول اتصال به سرور هستش. در ابتدا یه پکت MetaData رمزشده با AES ارسال میکنه. درخواست Check-in از طریق DemonMetaData ایجاد و از طریق PackageTransmit بسته به اینکه مقدار TRANSPORT_HTTP یا TRANSPORT_SMB تنظیم شده باشه ، روی HTTP  یا SMB ارسال میکنه. اگه انتقال موفقیت آمیز بود ، یه داده رمزشده با AES روی Teamserver دریافت میکنه و اونو رمزگشایی میکنه. این داده بررسی میشه و اگه ID  با ID قربانی مطابقت داشته باشه session بعنوان متصل شده درنظر گرفته میشه و تابع مقدار True رو برمیگردونه.

 

havoc CheckIn Request

 

تابع TransportSend برای ارسال داده به سرور استفاده میشه. این تابع داده و اندازه اون رو بعنوان آرگومان میگیره و یه بافر ایجاد میکنه و بسته به اینکه SMB یا HTTP انتخاب شده باشه ، اون رو ارسال میکنه.

 

havoc TransportSend

اگه اتصال با موفقیت انجام بشه، بدافزار آماده اجرای دستورات هستش. اگه دستور whoami ارسال بشه ، مطابق شکل زیر، دستور اجرا شده و اطلاعات قربانی نمایش داده میشه.

 

havoc whoami

 

وقتی دستور اجرا شد، خروجی با AES رمز شده و به C2 ارسال میشه که بعدش توسط TeamServer رمزگشایی میشه.

 

havoc aes

 

دستورات موجود در این فریمورک به نسخه اون مرتبطه اما دستورات رایجش در زیر اومده:

 

havoc Commands List

 

شناسایی بازیگر تهدید:

محققا روی سروری که پیلودها ازش دانلود شده ، ttwweatterarartgea[.]ga، یه open directory پیدا کردن که در شکل زیر قابل مشاهده هستش.

 

havoc

 

بین این فایلها ، یه فایل بنام NFcmoOSI.html بوده که یه اسکرین شات از سیستم بازیگر تهدید بوده. این فایل در حقیقت نتیجه اجرای دستور screenshare در متاسپلویت هستش.

 

havoc Screenshare

 

از این تصویر ،یسری اطلاعات هم از سیستم بازیگر تهدید بدست آوردن :

 

havoc

 

IP در این تصویر متعلق به نیویورک هستش. همچنین دما و وضعیت آب و هوایی عکس در اون تاریخ با دما و وضعیت هوا در نیویورک مطابقت داره.

 

havoc

 

همچنین بین فایلها، یه فایل لاگ بنام wget-log هم بوده، که لاگ wget  هستش که توش فایل Untitled-document.docx از طریق آدرس زیر دانلود شده :

1
https://www.dropbox.com/scl/fi/hnlvrwbl9v2zadl356mt3/Untitled-document.docx

 

havoc wget

 

همچنین دو تا فایل index.nginx-debian.html و login.nginx-debian.html هم پیدا کردن که صفحات در حال توسعه برای فیشینگ توییتر هستش.

 

havoc twitter

 

 

منبع

 

 

اشتراک در شبکه های اجتماعی :

Facebook
Twitter
Pinterest
LinkedIn
In آنالیز بدافزار اخبار بازیگران تهدیدIn havoc , KaynLdr , post exploit , Shellcode Loader , معرفی ابزار

راهبری نوشته

اصلاح چندین آسیب پذیری در Splunk Enterprise
چالش هک خودروهای هیوندا و کیا

دیدگاهتان را بنویسید لغو پاسخ

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دسته‌ها

  • Osint
  • آسیب پذیری امنیتی
  • آموزش های ویدیویی
  • آنالیز بدافزار
  • اخبار
  • افشای اطلاعات
  • امنیت وب
  • انتشارات
  • اینترنت اشیاء
  • بازیگران تهدید
  • باگ بانتی
  • پادکست
  • پروژه ها
  • توسعه اکسپلویت
  • تیم آبی
  • تیم قرمز
  • دوره های آموزشی
  • فازینگ
  • کنفرانس ،دوره ، وبینار ، لایو ، CTF
  • لیست های ویژه
  • ماشین آسیب پذیر
  • مجله
  • مقالات
  • مهندسی معکوس نرم افزار

پست های مرتبط

  • آنالیز بدافزار
  • اخبار
  • بازیگران تهدید
  • توسعه اکسپلویت
seyyid
On فروردین 25, 1402فروردین 28, 1402

دستگاههای آیفون هدف شرکت اسرائیلی QuaDream

  • آسیب پذیری امنیتی
  • اخبار
  • مقالات
seyyid
On آذر 11, 1402

بررسی هفتگی آسیب پذیری های منتشر شده در ZDI – (از 27 آبان تا 10 آذر)

  • آسیب پذیری امنیتی
  • اخبار
seyyid
On فروردین 29, 1402فروردین 29, 1402

آسیب پذیری بحرانی در محصولات Hikvision

  • اخبار
  • افشای اطلاعات
seyyid
On فروردین 29, 1402

دستگیری افشاگر اسناد نظامی آمریکا توسط FBI

درباره ما

بعد از چندین سال فعالیت تو حوزه امنیت سایبری و تولید محتوا در شبکه های اجتماعی ، بالاخره تصمیم گرفتیم تا یه سایت راه اندازی کنیم و مطالب رو ساده تر ، در یک محیط منسجم و طبقه بندی شده به دست مخاطب برسونیم. امیدوارم که قدمی در راستای رشد امنیت سایبری کشورمون برداشته باشیم.

تگ ها

0day APT command injection Deserialization of Untrusted Data Directory Traversal FBI Fortinet Heap buffer overflow integer overflow kali LockBit Memory Corruption nuclei Off By One Security out-of-bounds write Out of bounds read Patch Tuesday PWN2OWN Stack Buffer overflow type confusion use after free vulnerable wordpress XSS ZDI vulnerability آموزش اکسپلویت نویسی ارز دیجیتال اندروید اپل اکسپلویت باج افزار تلگرام زیرودی سیسکو فارنزیک فورتی نت فیشینگ لاک بیت مایکروسافت هوش مصنوعی وردپرس وردپرس آسیب پذیر ویندوز پلاگین کروم گوگل

شبکه های اجتماعی

    • Instagram
    • Telegram
    • Twitter
    • GitHub
    • YouTube
    • LinkedIn
      کپی مطالب با ذکر منبع بلامانع است | 1401-1404