微信校友录-应用云服务平台的ROKRAT木马病毒剖析
几个星期前,Talos试验室发布了一篇日本恶意文档的调查报告。如同大家以前探讨的一样,这一攻击者反映迅速,立即调节了攻击运动轨迹,抹去了被害服务器上的印痕。大家觉得攻击者在一切一次攻击活动中应用的操纵 *** 服务器活动时间不超过好多个钟头。近期大家又捕捉了一个新的攻击活动,应用了是日本常见的恶意Word文档(HWP文档),文档的攻击荷载是一款远程控制专用工具,大家称作ROKRAT。
与以前的文章内容相近,攻击活动以钓鱼邮件刚开始,包括一个HWP文档的恶意配件。在其中一个样版电子邮件是以韩国首尔延世民办大学邮件服务器传出的,邮箱地址是“kgf2016@yonsei.ac.kr”,为日本全世界社区论坛的联系邮箱,“2016”很有可能指的是“朝鲜韩国的和平统一”,这种标识符是想提升该电子邮箱详细地址的合理化和信用度。
这一HWP文档包括一个内嵌式EPS目标(Embedded *** 黑客确实能查隐私保护吗 Encapsulated PostScript,EPS是用PostScript語言封裝的一种格式文件),也是一种zlib压缩包。攻击者应用EPS是为了更好地运用已经知道系统漏洞(CVE-2013-0808)免费下载掩藏为jpg照片的二进制文件。二进制文件编解码后为ROKRAT远程控制专用工具,这一专用工具 *** 黑客确实能查隐私保护吗以合理合法的网址做为其指令操纵 *** 服务器以提升多元性。这种网址包含Twitter及其Yandex、Mediafire这两个云服务平台,悲剧的是这种服务平台的应用一般不容易被阻止,由于他们在大部分状况下全是用以合理合法主要用途。除此之外,这三个服务平台应用的全是HTTPS协议书,那样安全性工作人员更为无法鉴别攻击个人行为中的特点方式和特点动态口令。
二、钓鱼邮件
下面的图是对于日本推送的钓鱼邮件样版:
大家所捕捉的之一封电子邮件更为趣味。在这个样版中,大家观查到攻击者在电子邮件中谢谢客户接纳添加“日本统一与朝鲜问题大会”这一工作组,电子邮件表明客户应当填好文档內容并递交意见反馈。殊不知,这一大会是个假冒大会,与之更为接近的是17年1月份举行的NYDA统一大会。发送邮件者是“kgf2016@yonsei.ac.kr”,它是日本全世界社区论坛的联系邮箱。
查询电子邮件头顶部,大家发觉发送邮件者IP是& *** 黑客确实能查隐私保护吗ldquo;165.132.10.103”,根据“nslookup”指令得知该IP归属于延世大学的一个 *** TP *** 服务器。大家觉得该电子邮箱被攻击者盗取,借此机会推送钓鱼邮件。
样版文件夹名称汉语翻译回来便是“统一北韩大会_问卷调查”,电子邮件內容又再度注重了统一大会这一主题风格。除此之外,攻击者暗示着收货人在填好文档并意见反馈后可能得到 一些“台费”,或许恶意手机软件就是那个“台费”。
大家捕捉的第二封电子邮件就没那麼认真了。该电子邮件应用了Daum(Hanmail的原名)电子邮件服务提供商出示的免费邮件,与以前的对比,该电子邮件并沒有尝试装扮成来源于官方网组织或个 *** 黑客确实能查隐私保护吗人的电子邮件,只是应用了简易的“要求协助”主题风格,文档配件名叫“我是一名来源于北朝鲜江原道文川市的人”。大家猜疑攻击者想借此机会赢得受害人的怜悯,由于江原道之前曾是日本国土的一部分。配件內容叙述了一个名叫“Ewing Kim”的人已经求助的小故事。
电子邮件的配件应用了2个不一样的HWP文档,但运用全是CVE-2013-0808这一系统漏洞。
三、恶意HWP文档
这一HWP文档由OLE目标构成。在文中示例中,该文档包括一个名叫BIN0001.eps的EPS目标。因为HWP文档的信息内容应用了zlib缩小,因而你需要缓解压力“.eps”目标来得到 真实的shellcode。
我们可以从EPS目标中寻找运用CVE-2013-0808系统漏洞的shellcode:
shellcode以0x0404刚开始,而不是以规范的NOP命令(0x90)刚开始:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
user@lnx$ ra *** 2 -d 0404040404040404040490909090909090909090E8000000005E
add al, 0x4
add al, *** 黑客确实能查隐私保护吗 0x4
add al, 0x4
add al, 0x4
add al, 0x4
nop
nop
nop
nop
nop
nop
*** 黑客确实能查隐私保护吗 nop
nop
nop
nop
call 0x19
pop esi
这两个HWP文档中的shellcode目地是免费下载并编解码互联网技术上的一个荷载。荷载为二进制可执行程序。下列是文档所应用的一些样版信息内容:
1
2
*** 黑客确实能查隐私保护吗 3
SHA256: 7d163e36f47ec57c9fe08d758a0770f1778fa30af68f39aac80441a3f037761e
文件夹名称: 통일북한학술대회 *** 黑客确实能查隐私保护吗_심사서류.hwp ("北朝鲜大会_问卷调查")
URL: http://discgolfglow[.]com:/wp-content/plugins/maintenance/images/worker.jpg
1
2
3
SHA256:& *** 黑客确实能查隐私保护吗nbsp;5441f45df22af63498c63a49aae82065086964f9067cfa75987951831017bd4f
文件夹名称: 저는요 북조선 강원도 문천 사람이에요.hwp (“我是一名来源于北朝鲜江原道文川市的人 *** 黑客确实能查隐私保护吗”)
URL: http://acddesigns[.]com[.]au/clients/ACPRCM/kingstone.jpg
四、木马病毒剖析
这 *** 黑客确实能查隐私保护吗2个文档所免费下载的木马病毒都归属于同一群族,关键差别是所应用的指令与操纵 *** 服务器,在其中一个应用了Twitter做为C2 *** 服务器,另一个应用了Yandex和Mediafire这两个云服务平台,2个样版都包括同一个Twitter动态口令。
(一)反剖析对策
ROKRAT创作者应用了普遍的几类技术性来抵抗人力剖析和防止在沙盒内实行。
更先,恶意手机软件没有Windows XP系统软件上运作,它应用GetVersion() API分辨电脑操作系统版本号,假如主版本信息为5,就执 *** 黑客确实能查隐私保护吗行不断循环sleep:
除此之外,恶意手机软件查验当 *** 黑客确实能查隐私保护吗前运作过程,便于鉴别防护软件或沙箱环境,如下列编码:
恶意手机软件查验受害人服务器上的过程名,查询是不是包括包括关键字,关键字目录以下:
1
2
3
4
5
6
7
8
9
10
*** 黑客确实能查隐私保护吗 11
12
13
14
"mtool"代表VMWare Tools
"llyd"代表OllyDBG
"ython"代表Python (Cuckoo等沙箱使用这个工具)
"ilemo"代表File Monitor
黑客真的能查隐私吗 "egmon"代表Registry Monitor
"peid"代表PEiD
"rocex"代表Process Explorer
"vbox"代表VirtualBox
"iddler"代表Fiddler
黑客真的能查隐私吗 "ortmo"代表Portmon
"iresha"代表Wireshark
"rocmo"代表Process Monitor
"utoru"代表Autoruns
"cpvie"代表TCPView
如果执行中发现上述任一进程,恶意软件则会跳转到虚假函数中,产生虚假的HTTP流量。另外,如果恶意软件发现自己正被调试黑客真的能查隐私吗、不是通过HWP文档运行(比如使用双击运行)或者在父进程上成功使用OpenProcess()函数,那么恶意软件也会进入虚假处理流程。
恶意软件这么做似乎是为了产生 *** 流量以提供某种反馈机制,虚假处理流程使用了以下两个URL:
1
2
https://www[.]amazon[.]com/Men-War-PC/dp/B001QZGVEC/EsoftTeam/watchcom.jpg
黑客真的能查隐私吗 http://www[.]hulu[.]com/watch/559035/episode3.mp4
之一个URL是一张“Men of War”的WII游戏图片,第二个URL是一部名为“Golden Time”的日本动漫视频。
这两个URL都没有恶意,作者使用这些URL来试图欺骗对其的安全分析。
(二)C2架构
ROKRAT使用合法平台作为C2服务器并接收指令。我们总共发现了12个硬编码令牌,通过这些平台的公共API进行通讯。
1、使用Twitter作为C2服务器
我们在样本中发现了7个不同的Twitter API令牌(包含Consumer Key、Consumer Secret、Token以及Token Secret)。恶意软件检查Twitter时间线上的最后一条信息来接收指令,指令包括执行命令、移动文件、删除文件、终止进程、下载并执行文件。恶意软件也可以发布推文,推文以下面字符串中的随机三个字符开始:
1
黑客真的能查隐私吗 SHA-TOM-BRN-JMS-ROC-JAN-PED-JHN-KIM-LEE-
恶意软件使用的是官方的Twitter API:
2、使用Yandex作为C2服务器
Yandex云平台允许用户在Yandex云中创建磁盘。对于这个C2服务器,我们在样本中找到了4个Yandex令牌。样本使用API来下载和执行文件,或者上传用户文档。文档上传地址为:
1
disk:/12ABCDEF/Document/黑客真的能查隐私吗Doc20170330120000.tfs
其中“12ABCDEF”是一个随机ID,用来标识受害主机,而“Doc20170330120000”则包含了时间信息。
3、使用Mediafire作为C2服务器
这个网站的使用 *** 与Yandex类似,目的在于使用Mediafire提供的文件存储功能,以便下载执行文件或上传用户文档:
样本中内置了一个Mediafire账户(邮箱、密码和应用ID)。
(三)其他功能:屏幕截图和键盘记录
此外,某个样本可以截取受害主机的屏幕,攻击者使用了GDI API来实现这一功能:
键盘记录中,恶意软件使用了SetWindowsHookEx()这个API拦截用户键盘输入,使用GetKeyNameText() API来获取按键代表的字符,恶意软件同时提取了前台窗口的标题信息以便了解用户当前所处的输入窗口(使用GetForegroundWindow()以及GetWindowText() API)。
五、总结
这次攻击活动中所使用了HWP(用户主要集中在韩国)文档,邮件和文档完全使用韩文撰写,这表明攻击者以韩语作为母语。
木马使用了新颖的通信渠道,包括Twitter和Yandex、Mediafire这两个云平台来发送命令、获取文件以及上传文件。这种通信渠道难以防范,因为这些平台基本都用于合法用途。恶意软件具备异常处理功能,例如它可以检测自身是否在沙箱中运行或者目标环境中是否黑客真的能查隐私吗存在安全分析工具,检测成功则会进入虚假处理流程并访问合法网站(Amazon和Hulu)。
这次攻击活动再次表明韩国仍是攻击者热衷的目标。本文案例中,攻击者使用了首尔某大学合法论坛的邮箱来发送钓鱼邮件,以提升攻击成功率。
六、样本特征
(一)文件哈希
HWP文档:
1
2
7d163e36f47ec56c9fe08d758a0770f1778fa30af68f39aac80441a3f037761e
黑客真的能查隐私吗 5441f45df22af63498c63a49aae82065086964f9067cfa75987951831017bd4f
ROKRAT文件:
1
2
cd166565ce09ef410c5bba40bad0b49441af6cfb48772e7e4a9de3d646b4851c
黑客真的能查隐私吗 051463a14767c6477b6dacd639f30a8a5b9e126ff31532b58fc29c8364604d00
(二) *** 特征
恶意URL:
1
2
http://discgolfglow[.]com/wp-content/plugins/maintenance/images/worker.jpg
黑客真的能查隐私吗 http://acddesigns[.]com[.]au/clients/ACPRCM/kingstone.jpg
非恶意URL:
1
2
https://www[.]amazon[.]com/Men-War-PC/dp/B001QZGVEC/EsoftTeam/watchcom.jpg
http://www[.]hulu[.]com/watch/559035/黑客真的能查隐私吗episode3.mp4
(三)令牌特征
MEDIAFIRE:
1
2
3
Account #1
Username: ksy182824@gmail.com
黑客真的能查隐私吗 Application ID: 81342
TWITTER:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
Account #1
黑客真的能查隐私吗 Consumer key: sOPcUKjJteYrg8klXC4XUlk9l
Token: 722226174008315904-u6P1FlI7IDg8VIYe720X0gqDYcAMQAR
Account #2
Consumer key: sgpalyF1KukVKaPAePb3EGeMT
Token: 7595776336305930黑客真的能查隐私吗29-CQzXMfvsQ2RztFYawUPeVbAzcSnwllX
Account #3
Consumer key: XVvauoXKfnAUm2qdR1nNEZqkN
Token: 752302142474051585-r2TH1Dk8tU5TetUyfnw9c5OgA1popTj
Account #4
黑客真的能查隐私吗 Consumer key: U1AoCSLLHxfeDbtxRXVgj7y00
Token: 779546496603561984-Qm8CknTvS4nKxWOB4tJvbtBUMBfNCKE
Account #5
Consumer key: 9ndXAB6UcxhQVoBAkEKnwzt4C
Token: 777852155245080576-H0kXYcQCpV6qiFER38h3wS1tBFdROcQ
黑客真的能查隐私吗 Account #6
Consumer key: QCDXTaOCPBQM4VZigrRj2CnJi
Token: 775849572124307457-4ICTjYmOfAy5MX2FxUHVdUfqeNTYYqj
Account #7
Consumer key: 2DQ8GqKhDWp55XIl77Es9oFRV
黑客真的能查隐私吗 Token: 778855419785154560-0YUVZtZjKblo2gTGWKiNF67ROwS9MMq
YANDEX:
1
2
3
4
Token #1: AQAAAAAYm4qtAANss-XFfX3FjU8VmVR76黑客真的能查隐私吗k4aMA0
Token #2: AQAAAAAA8uDKAANxExojbqps-UOIi8kc8EAhcq8
Token #3: AQAAAAAY9j8KAANyULDuYU1240rjvpNXcRdF5Tw
Token #4: AQAAAAAZDPB1AAN6l1Ht3ctALU1flix57TvuMa4
本文由 安全客 翻译,转载请注明“转自安全客”,并附上链接。
原文链接:http://blog.talosintelligence.com/2017/04/introducing-rokrat.html
initiating是initiate(发起/实施)的现在分词,DNS是DomainNameServer(域名服务器),这个短语的(不是句子)意思是“启动并行域名服务器的分辨率。微信校友录
接了黑客 *** 有什么后果无知者也无畏,经常有人说,我不怕木马,我也没可啥可偷的,中毒就格式化。但就因对信息安全意识的淡薄,恰恰给攻击者带来无尽的肉鸡资源,同时,也会让。
微信校友录你的电脑里有木马监控你的输入。就是你在键盘的打字内容,都会发到对方的邮箱里。所以,安装杀毒软件和防火墙。如果对方安插的木马已经深入骨髓,建议重装。。10万请我们这行,太看得起10万块钱了吧1、重生黑客女王 初见,她救下了九死一生的叶湛寒。再见,她已是被剥皮的异体重生者。这一世的她,风华归来,血虐仇人,啪啪打脸!殊不知还有个大帅哥在。
亲绑定手机号了还是比较安全的哦,这样就算是被别人盗了只要手机号还在你这你就可以找回 *** 重设密码1、利用盗号木马。盗号木马是指隐秘在电脑中的一种恶意程序,跟灰鸽子不同,这是以盗号为目的并且能够伺机盗取各种需要黑客真的能查隐私吗密码的账户(游戏,应用程序等)的。微信校友录
入侵电脑可能涉嫌“破坏计算机信息系统罪”以下是《刑法》中关于“破坏计算机信息系统罪”的构成要件和量刑。(2)构成要件刑法第286条规定的破坏计算机。
微信校友录。没~自己喜欢什么样子的就设计成什么样子~你可以去看看ZERO的设定,原本的设定就是接在X5系列后的,所以出现X4里面的标志一点也不奇怪==简单说《黑客帝国》里的人们生活在计算机 *** ,他们的世界实际是虚拟的世界,就是有高楼大厦的世界。什么是Matrix(矩阵)?Matrix的本意是子宫、母体、孕育。
我国已经发展成为了一个民生大国,各行各业都做得风生水起。可以说,每个行业都非常不错,有有着各自赚钱的道道。不过,对于做生意的人来说,选择行业非常重要。现在做什么生意最赚钱呢? 1、目前母婴生意是非常...
socket相关程序从windows移植到linux下需要注意的 1)头文件 windows下winsock.h/winsock2.h linux下sys/socket.h 错误处理:errno.h...
任何名目标文档都需要借助对应的东西才可以打开并举办编辑与修改,虽然PDF名目也不破例!PDF名目标文档所用的东西应该是PDF阅读器。PDF阅读器有手机版也有电脑版;有免费的也有收费的;有好用的也有一般...
春节带娃回家需要准备充足的物品,针对宝宝水土不服,生病准备的药品,日常和喂养用品等等,列出一个物品清单比较好,以免遗忘,那么春节带娃回家需要准备哪些东西?下面友谊长存带来介绍。 春运带娃物品清单...
本文导读目录: 1、中国最强黑客与美国最强黑客对比 2、勒索病毒WannaCry能给我们带来什么启示? 3、史上最强黑客出自哪个国家? 4、世界最强的十大电脑病毒是什么? 5、最厉害的...
妈勒戈壁,大骗子,叫吴迪,卧槽是个狗人 想那种账号1级上来直接回答“什么事\有什么可以帮你\可以\能\我认识人”的骗子,请直接忽略 下载一个彩虹QQ。这个可以看到隐身的好友,和对方的IP地址!...