日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

近日，微軟披露 Microsoft Office 存在遠(yuǎn)程代碼執(zhí)行漏洞 CVE-2022-30190。Avast 的研究人員發(fā)現(xiàn)澳大利亞通信公司 VOIPS Telecom 帕勞分公司已經(jīng)被攻陷，用于分發(fā)惡意軟件。受害者打開惡意文檔后，將會通過惡意網(wǎng)站下載并執(zhí)行惡意軟件。

成都創(chuàng)新互聯(lián)是一家從事企業(yè)網(wǎng)站建設(shè)、成都網(wǎng)站建設(shè)、成都網(wǎng)站制作、行業(yè)門戶網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計(jì)制作的專業(yè)網(wǎng)站制作公司，擁有經(jīng)驗(yàn)豐富的網(wǎng)站建設(shè)工程師和網(wǎng)頁設(shè)計(jì)人員，具備各種規(guī)模與類型網(wǎng)站建設(shè)的實(shí)力，在網(wǎng)站建設(shè)領(lǐng)域樹立了自己獨(dú)特的設(shè)計(jì)風(fēng)格。自公司成立以來曾獨(dú)立設(shè)計(jì)制作的站點(diǎn)成百上千家。

復(fù)雜攻擊

攻擊分為多個(gè)階段，相對復(fù)雜。攻擊者使用 LOLBAS（Living off the Land Binaries And Scripts）技術(shù)，利用 CVE-2022-30190 漏洞惡意代碼，無需將可執(zhí)行文件落地，盡量降低端點(diǎn)檢出可執(zhí)行文件的可能性。為了最大限度保持隱蔽，攻擊者在多個(gè)階段中都使用了合法簽名。

第一階段

失陷的網(wǎng)站上部署了一個(gè)名為 robots.txt的可執(zhí)行文件，這樣在日志中即使被發(fā)現(xiàn)也能夠盡可能不引起管理人員的注意。調(diào)用微軟支持診斷工具程序（msdt.exe），下載 robots.txt并保存為 Sihost.exe，最后執(zhí)行惡意程序。

下載文件

網(wǎng)絡(luò)流量

解碼命令

第二階段

當(dāng) msdt.exe 執(zhí)行 Sihost.exe 時(shí)，樣本會下載第二階段的 Loader（b63fbf80351b3480c62a6a5158334ec8e91fecd057f6c19e4b4dd3febaa9d447）。下載的 Loader 用于下載和解密第三階段的惡意文件，該文件為也在相同 Web 服務(wù)器上部署的加密文件 favicon.svg。

解密操作

樣本下載

第三階段

加密文件 favicon.svg 被解密后，會下載第四階段的樣本。

解密樣本示例

樣本下載

這些樣本也是部署在 palau.voipstelecom.com.au上的，被命名為 Sevntx64.exe與 Sevntx.lnk。

第四階段

惡意樣本執(zhí)行時(shí)，會加載一個(gè)長為 66kb 的 Shellcode 程序。該程序名為 Sevntx64.exe，是 AsyncRAT 家族的惡意程序，且與 Sihost.exe使用相同的證書進(jìn)行簽名。

加載 Shellcode

第五階段

感染鏈的最后，攻擊者部署 AsyncRAT 遠(yuǎn)控木馬（aba9b566dc23169414cb6927ab5368b590529202df41bfd5dded9f7e62b91479）。木馬與 palau.voipstelecom.com.au 的 443 端口進(jìn)行 C&C 通信。

AsyncRAT 配置信息

回溯

研究人員也發(fā)現(xiàn)了惡意軟件的早期版本：

當(dāng)前題目：澳大利亞通信公司失陷，被利用分發(fā)惡意樣本
網(wǎng)頁地址：http://m.5511xx.com/article/dphshsh.html