freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

CISA披露了伊朗黑客使用的Web Shell详细信息
2020-09-17 14:33:21

当地时间9月15日,美国网络安全和基础设施安全局(CISA)发布了一份恶意软件分析报告(MAR),该报告详细介绍了19个恶意文件的细节,其中包含有关伊朗黑客使用的Web Shell的技术细节。

Web Shell是一种用典型的Web开发编程语言(例如ASP,PHP,JSP)编写的代码,攻击者将其植入Web服务器上以获得远程访问和代码执行。Web Shell让攻击者可以传递和执行JavaScript代码,这些代码可用于枚举目录,执行有效负载及泄露数据。

根据CISA的报告,来自匿名APT组织的伊朗黑客正在利用几个已知的Web Shell,对美国各地的IT,政府,医疗,金融和保险组织进行攻击。他们利用了Pulse Secure VPN, Citrix ADC以及  F5’s BIG-IP ADC产品中的漏洞进行攻击,使用的恶意软件包括ChunkyTuna,Tiny和China Chopper

几周前,有研究人员透露,这个伊朗APT组织名为“Pioneer Kitten”,又名  Fox Kitten或Parisite。该组织现在正试图通过将其已入侵的某些网络的访问权出售给其他黑客来获利。过去的几个月,他们一直在攻击VPN服务器。

此外,CISA专家也分析了程序数据(PDB)文件和二进制文件,这些文件已被识别为开源项目“ FRP”的编译版本。FRP可以使攻击者通过隧道,将各种类型的连接建立到目标网络范围之外的远程操作员。该报告还分析了作为KeeThief开源项目一部分的PowerShell 脚本,该脚本可让攻击者访问Microsoft“ KeePass”密码管理软件存储的加密密码凭据。

攻击者利用了这些恶意工具来维护持久的远程访问,并从受害者的网络中泄漏数据。他们可能已经使用了“ FRP”实用程序来建立出站远程桌面协议(RDP)会话的隧道,以支持从防火墙外对网络进行持久访问。

该报告还详细介绍了另外7个文件,其中包含用作恶意Web Shell的恶意超文本预处理器(PHP)代码,被标识为ChunkyTuna和Tiny Web Shell。这两个Web Shell均可接受远程命令和数据,所以操作者可以远程控制受感染的系统。

参考来源:

https://securityaffairs.co/wordpress/108357/malware/cisa-web-shells-iranian-hackers.html

本文作者:, 转载请注明来自FreeBuf.COM

# 黑客
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑