最近, 360 威胁情报管理中心捕获到一个对于伊拉克通信运营商 ( Korek Telecom)的定项攻击样版。该营运商是伊拉克发展趋势更快的联通公司,服务项目于伊拉克的 18 个省区,为公司、 *** 部门和普通用户出示服务项目。攻击样版应用渔叉式钓鱼邮件开展递送:诱发受害者开启配件 Office Word 文本文档,并开启恶意宏。恶意宏代码最后会释放出来实行 PowerShell 后门,进而完成对受害者电子计算机的远程操作。 360 威胁情报管理中心历经追溯和关系后发觉,该攻击主题活动疑是与 MuddyWater APT机构有关,并追溯和剖析了好几个与之有关的恶意样版。
MuddyWaterAPT 机构很有可能来源于沙特[1],其有关主题活动追朔到 2017 今年初,其关键对于 *** 部门、通讯和石油公司。 2017 年 11 月, Palo Alto 在对好几个攻击开展相关性分析后,将该机构取名为 MuddyWater[2]。进到 2018 年之后,其总体目标地域已不限于沙特和沙特 *** ,也是扩展到亚洲地区、欧州和非州[3],总体目标特性也包含了国防实体线、教育培训机构等。
样版剖析
钓鱼邮件
文件夹名称
missan dashboard.msg
MD5
83c31845c0de88578cf94c9655654795
攻击者掩藏为企业内部员工,在电子邮件中提及3月汇报有不正确,并强调在配件中有详细说明,进而引诱受害者免费下载并开启配件中的鱼饵文本文档:
根据收货人电子邮箱@korektel.com,大家发觉该受害者电子邮箱是伊拉克通信运营商Korek公司邮箱:
充分考虑电子邮件相关内容与企业日常业务流程相关,因而大家猜疑此次攻击主题活动是对于该公司的一次定项攻击主题活动。
Dropper
文件夹名称
Missan dashboard.doc
MD5
806ADC79E7EA3BE50EF1D3974a16B7FB
配件中的Office Word文本文档带有恶意的宏代码,根据模糊文档背景內容来诱发受害者运行宏:
一旦受害者运行宏,恶意宏代码便会实行,接着弹出来虚报出错对话框,进而欺诈受害者:
恶意宏代码掩藏在文本框中,猜想是为了更好地提升检验的难度系数:
宏代码将PowerShell运行脚本 *** 载入注册表文件HKEY_CURRENT_USER\\Software\\Classes\\CLSID\\{769f9427-3cc6-4b62-be14-2a705115b7ab}\\Shell\\Manage\\command,并在开机启动项下载入数据信息,当受害者客户重新启动或登录系统都是会实行该 PowerShell :
以后将环境变量载入c:\\windows emp\\picture.jpg:
最终释放出来c:\\windows emp\\icon.ico,该文件用以事后运行PowerShell过程:
PowerShell
PowerShell经双层搞混以影响剖析工作人员剖析,经解决后的编码以下:
编码更先从c:\\windows emp\\picture.jpg载入环境变量,经Base64编解码解决后实行:
第二阶段的PowerShell脚本 *** 以下:
由此可见脚本 *** 依然搞混比较严重,经双层解搞混后获得PowerShell后门,该后门为MuddyWater常见的POWERSTATS后门:
POWERSTATS后门
后门在运作时更先获得计算机软件名、计算机名、登录名及其IP等信息内容:
当今电子计算机公网IP根据浏览icanhazip.com获得:
将获得的信息内容以“**”连接,并数据加密解决:
从来没有比如今还行的机遇了解如何正确清理工作区域,电子计算机和零配件。因为感冒和流感时节邻近,新冠肺炎时兴更改了大家的工作方式和工作中地址,因而即便 触碰到的表层全是您自身的物件,还要清理,这一点很重...
两年内app的下载量有2800W,单月营收破3亿,斑马ai课是如何做到的?本文作者结合AARRR模型对斑马ai课进行了拆解分析,带我们回顾了斑马ai课app的增长之路。 近日,猿辅导宣布完成10亿美...
流量来了,对付每一个SEO人员来说,都是热切等候的工作,可是有时候由于算法的调解,庞大的流量来了,很容易造成,SEO人员不知所措,不知道如何做流量分派。 这凡是会导致大量准确流量失去其代价。 那么,...
艾滋病是人体感染了人类免疫缺陷病毒(HIV),又称艾滋病病毒所导致的传染病,值得一提的是,HIV本身并不会引发任何疾病,而是当免疫系统被HIV破坏后,人体由于失去抵抗能力而感染其他的疾病导致死亡。...
治疗用度,一个疗程1100元,纯中药,一用度个疗程就好, 对付早泄的治疗,我相信早泄外用药欧勃特,因为是它治好的我,早泄外用药。 手术治疗太伤身体,并且容易重复。像喷剂类的也都是属几多钱于...
可以去看一下一篇叫深度解析杀毒软件内核的文章,写计算机黑客防御的,写得不错可以参考 黑客,一个让外界看上去很神秘的字眼,大家往往都觉得,黑客就像电影中那样来无影去无踪。想入侵哪里就入侵哪里,想进哪台服...