数据} private TBufferWriter output;经过深入分析,咱们意识到这两种要挟是相关的,此外,两种进犯运用了相同的域来存储走漏数据。
一起咱们发现,有一些受害者会被两种类型的歹意软件感染。
值得一提的是,在第二阶段,一切可履行文件都受到runtime加密器的维护,在翻开后呈现了另一个曾经未发现的后门,而这个后门已知与PLATINUM有关。
发现的样本是名为kah *** irissue abida.doc的缝隙运用文档,该缝隙运用样本包括三个Objdata,其间两个为Package目标,一个为包括CVE-2019-8570缝隙的OLE2Link。
样本运用RTF文档主动开释Package目标的特性,将包括的两个Package目标开释至%TMP%目录下,最终经过CVE-2019-8570触发履行开释的歹意脚本,再经过脚本履行开释的EXE文件,包括缝隙的Objdata目标信息如下:DNAME记载不再解析GQBL列表中主机的恳求。
下图这个clientid要保存好等下衔接的时分要用。