网络安全研究人员发现了一种名为“Alchimist”的新攻击和 C2 框架,该框架似乎被积极用于针对 Windows、Linux 和 macOS 系统的攻击。
该框架及其所有文件都是用 GoLang 编写的 64 位可执行文件,GoLang 是一种使不同操作系统之间的交叉兼容性变得更加容易的编程语言。
Alchimist 提供了一个使用简体中文语言的基于 Web 的界面,它与 Manjusaka 非常相似, Manjusaka是最近出现的在中国黑客中越来越流行的后利用攻击框架。
发现这两个框架的Cisco Talos研究人员强调了它们的相似之处,但解释说存在足够的技术差异来推断不同的作者开发了它们。
酝酿攻击
Alchimist 为操作员提供了一个易于使用的框架,使他们能够生成和配置放置在受感染设备上的有效负载,以远程截取屏幕截图、运行任意命令并执行远程 shellcode。
该框架支持构建自定义感染机制以在设备上删除“Insekt”远程访问木马 (RAT),并通过为 RAT 部署生成 PowerShell(适用于 Windows)和 wget(适用于 Linux)代码片段来帮助黑客。
Insekt 有效负载可以在 Alchimist 的界面上使用多个参数进行配置,例如 C2 IP/URL、平台(Windows 或 Linux)、通信协议(TLS、SNI、WSS/WS),以及它是否作为守护程序运行。
C2 地址被硬编码到生成的植入程序中,并包含在编译期间生成的自签名证书。C2 每秒 ping 十次,如果所有连接尝试都失败,恶意软件会在一小时后重试。
昆虫大鼠
虽然 Alchemist C2 服务器提供要执行的命令,但在受感染的 Windows 和 Linux 系统上执行命令的是 Insekt 植入程序。
Insekt 植入程序可以执行的恶意行为包括:
- 获取文件大小。
- 获取操作系统信息。
- 通过 cmd.exe 或 bash 运行任意命令。
- 升级当前的 Insekt 植入物。
- 以不同的用户身份运行任意命令。
- 在 C2 定义的时段内休眠。
- 开始/停止截屏。
此外,Insekt 可以充当代理(使用 SOCKS5)、操作 SSH 密钥、执行端口和 IP 扫描、将文件写入或解压缩到磁盘以及在主机上执行 shellcode。
“Insekt 的 Linux 变体还具有列出受害者主目录中“.ssh”目录内容的功能,并将新的 SSH 密钥添加到 authorised_Keys 文件中,”Cisco Talos 在报告中解释道。
“使用此功能,攻击者可以通过 SSH 从 C2 与受害者的机器进行通信。”
Alchimist 操作员还可以向植入体发送预先确定的命令,涉及用户创建、管理员用户调查、终端激活以及防火墙禁用和配置。
macOS 攻击
Insikt 还不能在 macOS 上运行,因此 Alchimist 使用 Mach-O 文件弥补了这一空白,这是一个用 GoLang 编写的 64 位可执行文件,其中包含 CVE-2021-4034 漏洞利用。
这是 Polkit 的 pkexec 实用程序中的权限提升漏洞 ,但该框架不会将其注入目标,这意味着要使攻击起作用,黑客必须在目标机器上安装该实用程序。
只要系统上安装了 pkexec,Alchimist 也为 Linux 平台提供了相同的漏洞利用。
多合一框架的兴起
Alchimist 是另一个可供网络犯罪分子使用的攻击框架,他们不具备构建复杂网络攻击所需的所有组件的知识或能力。
不幸的是,这些现成的框架质量很高,功能丰富,擅长规避检测,并且可以有效地将植入物投放到目标上。
话虽如此,它们甚至对希望最大程度地减少运营费用并与其他黑客的随机恶意流量混合以逃避归属的更高级的威胁参与者有利。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 新的Alchimist攻击框架针对Windows、macOS、Linux
