从某电商垂钓事情探究黑客“一站式服务”

访客5年前黑客资讯734

深服气EDR安全团队,收拾剖析了一同某电商垂钓事情,经过相关信息,发现背面或许存在一个“产业链完全”的黑客团伙,研讨发现其具有“一站式服务”的黑客进犯手法。
黑客进犯手法包含但不限于垂钓邮件、缝隙运用、挖矿病毒、勒索病毒、无文件进犯、远控木马、键盘记载器、暗码破解等,是一次完好而 *** 的“服务”。

最开端,或许仅仅是一封精心结构的邮件触发的,经过信息收集和长途操控,在闲时挖矿榨干主机功能,当窃取到满足秘要,又最终“卸磨杀驴”“饮鸠止渴”,履行勒索操作。

0x01 定向撒网捞鱼:垂钓邮件
XX公司现已被黑客盯上了,黑客经过社工拿到该公司的各种邮件账号,并给这些账号发送了垂钓邮件。
职工A收到一份邮件,这是一份包含了doc附件(实际上是一份富文本文件)的邮件,doc名称为TransferCopy.doc。
以下是邮件的基本信息:

看上去是一份无害的文件,点开检查该doc,也未发现异常(但此刻现已开端后台悄悄履行)。
0x02 苍蝇不叮无缝的蛋:缝隙运用
苍蝇不叮无缝的蛋,一个一般的doc文档不能触发什么,可是,那是一个特别结构的文档,里边必定运用了什么缝隙的。
咱们将邮件样本中的Base64加密的附件b64EnTransferCopy.doc提取出来,检测Base64解码的b64DeTransferCopy.doc,发现了b64DeTransferCopy.doc文档中的特别文本。


能够判别其运用了CVE-2010-3333,缝隙溢出后,履行了下载动作。

在doc中发现歹意下载链接:


"http://polariton.rghost.ru/download/74zJT5wtf/b878e693051a8e541381b1d6378f4ddf62b d96b3/b878e693051a8e541381b1d6378f4ddf62bd96b3/b878e693051a8e541381b1d6378f 4ddf62bd96b3/DFGHDFGHJ4567856.exe"
拜访这个网址之后,会跳转到http://rgho.st/74zJT5wtf?r=1088

0x03 侦办兵先行:下载木马
浸透企业内网,免不了先侦办内部主机信息的,黑客最开端,挑选了下载并履行木马,完结开始的信息收集和长途操控。
咱们将这个样本下载下来,检测为.NET程序,程序没有加壳,可是经过了混杂。

经过De4dot反混杂得到如下信息,可是程序仍是存在必定的混杂,选用动态剖析。

动态剖析程序DFGHDFGHJ4567856.exe行为,发现其履行cmd指令 cmd.exe /c systeminfo 获取体系基本信息,写入Info.txt。


开释AutoUpdate.exe并经过设置注册表,设置其为自发动,进行键鼠记载,将一切的动作记载在logs_xx.xx.xxxx(日期格局).htm文件。


开释键鼠记载器pass.exe并发动,进行暗码收集或许暗码破解。

该程序在完结一切开释和发动作业后,会运用HTTP协议衔接歹意C2进行交互(回传信息)。

[1] [2]  黑客接单网

相关文章

黑客免押金接单入_哪里可以找黑客学技术

5. 修正 Peach 的版别· 深圳普银区块链集团的根据茶的区块链项目以虚拟钱银“普银币”(普洱币,后改名为普银币)为幌子进行不合法集资欺诈3亿多。 深圳警方已捕获犯罪嫌疑人6名,查封茶叶约10万饼...

能接单的黑客qq群号,找泰兴黑客,怎么在淘宝网上找黑客

回归正题,在企业中有许多明文或潜规则的规则,这些咱们都猎奇又不乐意触碰谈起的小红线,深深的吸引着我和万鹏。 缺点:简单误报,无法对加密或许经过特别处理的Webshell文件进行检测。 尤其是针对保密型...

找黑客高手拿站,骗子勿扰,最好不要订金

Middlewarewlserver_10.3serverlibcube数组每项的大小:sizeof(h->cube) == 0x1920# Apache版本,复现的关键就在该版本Windows...

用Python和Smali模拟器搞定一个加混杂、防篡改的APK逆向

这个周末我和好友聊地利,他向我求助修正一个他正在编写Python脚本。他企图通过解混杂一个APK,来了解该APK的混杂基址和防篡改维护机制。同我以往的APK逆向进程(dex2jar->jd-gu...

有黑客接单博彩吗,伊朗黑客联系方式后怎么样,黑客网站帮我找一个老賴

orderby10这儿的10是参数用来猜有多少个字段数 .... 11搜集该站子域名,判别子域名是否运用CDN。 如图网站挂马; * <p/>...

骇客根源是什么

引述2017年4月23日Dan Tentler的推文,“并非所有主机都是Windows,而且并非所有这些端口都是SMB”。 我们将这句话放到今天也一样可以使用,“并非所有这230万台主机都是Windo...