手机看开奖直播m123448com

渗透经验 我们是如何发现对欧洲政府的攻击的
发布时间:2019-10-02

  寻找新型以及危险的网络威胁是PT ESC安全中心的主要工作之一,2019年中旬,PT ESC的分析人员发现了一起针对克罗地亚政府的网络攻击。在这篇文章中,我们将针对这一攻击活动进行分析,而且据我们所知,这种新型的攻击框架在此之前从未有人使用过。

  2019年4月2日,在常规的恶意软件监控活动中,PT ESC的研究人员发现了一份可疑的Office文档:

  这是一份excel文件,2015国家公务员面试公告:汕头出。它伪装成了包裹通知,并存储为了旧版本的.xls格式(时间戳:2019-04-01 16:28:07 (UTC))。然而,该文件的“上次打印”时间戳(2018-07-2500:12:30 (UTC))表明该文档曾在2018年被使用过。

  2、下载并运行文件以备下一阶段的感染,需要借助合法的系统实用工具regsvr32。

  2、下载并运行文件以备下一阶段的感染,需要借助合法的系统实用工具regsvr32。

  在与攻击者的服务器建立了HTTP(S)连接之后,脚本会发送一个NTLM请求。这个请求可以用来恢复NTLM哈希来进行pass-the-hash攻击。

  这种利用regsvr32来进行恶意攻击的技术被称为Squiblydoo,之前也有过相关介绍。攻击者可以使用它来绕过应用程序白名单,并躲避反病毒产品的检测。

  注释参数的内容本身并不会进行什么操作,而是会触发其他操作。当目标用户打开Excel文档之后,会弹出一条信息来要求用户启用宏功能:

  如果用户点击了“启用内容”按钮,则会弹出一条伪造的消息,其中包含Croatian Post的logo和包裹通知:

  与此同时,恶意宏将运行文件注释中的命令,新的脚本将会添加到系统的启动项中:

  有趣的是,这个新脚本并不是由恶意宏运行的,这很有可能是攻击者专门设计的,因为攻击者需要在重启并用户登录之后进行下一阶段的感染。需要注意的是,其中的代码结构非常好,缩进和格式都很整洁,并且从第三方源“借用”了一些代码。

  接下来,我们看看下一阶段攻击者如何使用regsvr32来实现感染。命令运行之后,会从攻击者的服务器下载一个Javalet,Body中包含有Base64编码的数据。解码之后,数据会被反序列化,并由架运行。

  从表面上看,攻击者对所使用的工具并没有非常深刻的了解。比如说,let调用了setversion函数,但并没做任何其他的事情,在线提供的一个示例let也是如此。Ghost XP还能用吗 体验过后心惊胆战

  编译后,源代码文件夹的路径仍然存在。这里的-master后缀表明,这些代码是直接从代码库中克隆过来的。其中一个目录路径为SharpPick的组件,它可以用来下载并运行跟依赖关系的PowerShell代码,而不需要额外的代码解释器。

  1、创建一个对象来与Web服务器交互,包含User-Agent、Cookie和代理设置。

  1、创建一个对象来与Web服务器交互,包含User-Agent、Cookie和代理设置。

  不幸的是,C2服务器在此时已经无法访问了,所以我们无法获取到之前的数据了。但是,调查结果显示这个感染链为Empire Backdoor(输入Empire后渗透利用框架),它可以帮助攻击者远程控制目标用户的计算机。



上一篇:《噬血代码》风穴攻略 风穴如何通过


下一篇:国务院决定完善燃煤发电上网电价形成机制


开奖结果六合| 香港新报跑狗玄机图| 04949comi本港开奖直本港台资讯| 老铁算盘六合彩专家| 香港挂牌最完整篇彩图| 香港正牌挂牌之全篇| 2018年全年特准生肖诗| 九龙图库开奖结果直播| 神算子心水论坛高手榜| 管家婆彩图马会资料|