日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
疑似印度黑客針對(duì)亞洲材料行業(yè)發(fā)起攻擊

研究人員發(fā)現(xiàn)一個(gè)未知的攻擊組織以亞洲一家材料行業(yè)的公司為攻擊目標(biāo),被命名為 Clasiopa。該組織使用獨(dú)特的攻擊工具,開(kāi)發(fā)了定制化的后門(mén) Atharvan。

我們提供的服務(wù)有:成都網(wǎng)站設(shè)計(jì)、做網(wǎng)站、微信公眾號(hào)開(kāi)發(fā)、網(wǎng)站優(yōu)化、網(wǎng)站認(rèn)證、慶元ssl等。為近千家企事業(yè)單位解決了網(wǎng)站和推廣的問(wèn)題。提供周到的售前咨詢和貼心的售后服務(wù),是有科學(xué)管理、有技術(shù)的慶元網(wǎng)站制作公司

Clasiopa 的 TTP

尚不清楚 Clasiopa 的攻擊媒介是什么,研究人員猜測(cè)是通過(guò)對(duì)外開(kāi)放的服務(wù)進(jìn)行暴力破解獲取的訪問(wèn)權(quán)限。

攻擊中還有許多特征:

  • 利用 ifconfig.me/ip 獲取失陷主機(jī)的 IP 地址
  • 試圖通過(guò)停止 SepMasterService 來(lái)停用 Symantec Endpoint Protection,再利用 smc -stop 徹底禁用安全防護(hù)軟件
  • 使用多個(gè)后門(mén)來(lái)外傳文件名列表,列表存儲(chǔ)在 Thumb.db 文件或 ZIP 壓縮文件中
  • 使用 wsmprovhost 清除 Sysmon 日志
  • 使用 PowerShell 清除所有事件日志
  • 創(chuàng)建計(jì)劃任務(wù)獲取文件名

在一臺(tái)失陷主機(jī)上發(fā)現(xiàn)了運(yùn)行的 Agile DGS 和 Agile FD 服務(wù),惡意樣本被放置在名為 dgs 的文件夾中。與此同時(shí),一個(gè)后門(mén)被從 atharvan.exe 重命名為 agile_update.exe。另一臺(tái)失陷主機(jī)上運(yùn)行著 HCL Domino 服務(wù),但并不清楚這是否是巧合。但這些服務(wù)都在使用舊證書(shū),還包含部分存在漏洞的庫(kù)。

攻擊工具

攻擊者使用了自研的遠(yuǎn)控木馬 Atharvan,以及開(kāi)源遠(yuǎn)控木馬 Lilith 的定制版本。此外,攻擊者還使用了 Thumbsender 與自定義代理工具。

Atharvan

Atharvan 樣本文件在運(yùn)行時(shí)會(huì)創(chuàng)建名為 SAPTARISHI-ATHARVAN-101的互斥量,因此得名。

C&C 服務(wù)器硬編碼在樣本中,位于 AWS 的韓國(guó)區(qū)。POST 請(qǐng)求中,Host 被硬編碼為 update.microsoft.com。例如:

POST /update.php HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.105 Safari/537.36 Edg/84.0.522.52
Host: update.microsoft.com
Content-type: application/x-www-form-urlencoded
Content-length: 46
id=Atharvan&code=101&cid=H^[REDACTED]&time=5?

請(qǐng)求參數(shù)如下:

  • id:硬編碼為 Atharvan
  • code:表示請(qǐng)求目的
  • cid:硬編碼字符后為失陷主機(jī)的 MAC 地址
  • time:通信時(shí)間間隔
  • msg:根據(jù) code 參數(shù)不同表示請(qǐng)求目的

在加密 msg 時(shí),惡意軟件使用以下加密算法:

def encrypt(plaintext):
return bytes([((2 - byte) & 0xff) for byte in plaintext])?

惡意軟件使用簡(jiǎn)單的 HTTP 解析工具在服務(wù)器響應(yīng)中提取信息,解密算法如下所示:

def decrypt(ciphertext):
return bytes([((2 - byte) & 0xff) for byte in ciphertext])?

獲取命令時(shí),惡意軟件預(yù)期解密的正文由 \x1A 分隔的字符串組成。每個(gè)字符串的第一個(gè)字節(jié)用于指定要執(zhí)行的命令,其余字節(jié)為命令參數(shù):

Atharvan 命令參數(shù)

配置計(jì)劃通信,命令參數(shù)指定時(shí)間與日期,編碼為:

  • 無(wú)限制(0x16)
  • 指定月中的天(0x17)
  • 指定星期幾(0x18)

預(yù)制的通信模式是該惡意軟件的另一個(gè)不常見(jiàn)的特征。

歸因

目前沒(méi)有確切的證據(jù)表明 Clasiopa 的背景與動(dòng)機(jī)。盡管 Atharvan 在后門(mén)中使用了印地語(yǔ)作為互斥體的名字(SAPTARISHI-ATHARVAN-101),而且 Atharvan 也是印度教的神明。后門(mén)向 C&C 服務(wù)器發(fā)送的 POST 請(qǐng)求為 d=%s&code=%d&cid=%s&time=%dtharvan,攻擊者用于 ZIP 壓縮文件的密碼為 iloveindea1998^_^。盡管這些細(xì)節(jié)可能表明該組織位于印度,但這些信息也可能是作為虛假 Flag 植入其中,尤其是密碼似乎過(guò)于明顯。


分享題目:疑似印度黑客針對(duì)亞洲材料行業(yè)發(fā)起攻擊
文章源于:http://m.5511xx.com/article/cocjdgo.html