双尾蝎后门程序

最新推荐文章于 2024-01-17 14:14:49 发布
最新推荐文章于 2024-01-17 14:14:49 发布
阅读量1.1k 收藏
点赞数
分类专栏: 病毒 逆向 APT 文章标签: APT 逆向 病毒 后门
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JiangBuLiu/article/details/110448816
版权
本文详述了一种通过钓鱼邮件投递的双尾蝎后门程序,该程序伪装为IT从业者简历,执行后能截屏、下载文件、发送计算机信息到远程服务器,并尝试创建持久性。样本使用Delphi编写,通过不同控件和计时器事件执行不同功能,关联到APT-C-23组织的历史攻击活动。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

样本分析

投递手法

通过钓鱼邮件投递以IT从业者简历为主题的可执行文件,该文件通过长文件名+WORD图标的方式,伪装为文档诱骗收件人下载打开。流程图如下:
在这里插入图片描述

样本详细分析

该Delphi可执行文件运行后会通过窗体TForm1类中设置的3个按钮控件和4个计时器控件的响应事件,执行对应功能,如截图,下载文件,执行Shell代码等:
在这里插入图片描述
执行Timer后根据执行结果,杀死以及设置/新建Timer控制逻辑,下文不再赘述:
在这里插入图片描述

Time1释放掩饰文档

首先被执行的是Time1,用来释放掩饰文档以及进入Button2控件的响应事件。
从资源段中加载资源“Resource_1”后,将其释放在本地%TEMP%目录下“cv AYA ALI 888.docx”中:
在这里插入图片描述
调用“ShellExecute”打开掩饰文档欺骗收件人:
在这里插入图片描述
掩饰文档如下,具体信息将在溯源中展开:
在这里插入图片描述
接着进入Button2控件的响应事件。

Button2发送信息

Button2控件的响应事件用来获取计算机信息并将数据Base64编码后发送给远程服务器。
首先调用“GetVersionExW”获取获取系统版本信息,根据系统版本的不同选择不同的路径保存生成的计算机标识:

系统版本 计算机标识保存目录
Windows XP C:\Documents and Settings%Username%\Application Data
其他Windows版本 %ProgramData%

生成的10位长度字符串作为计算机标识(以下简称为“ID”),写入到文件“GUID.bin”中:
在这里插入图片描述
将获取到的计算机名和用户名,与ID拼凑生成计算机标识字符串后进程Base64编码处理:

最低0.47元/天 解锁文章
Snort规则入门学习
qq_57035765的博客
03-22 7691
Snort规则学习 入门引言 从一条简单的snort规则开始 alert tcp any any -> 192.168.1.0/24 111(content:"|00 01 86 a5|";msg:"mountd access";) snort 每条规则都可以分成逻辑上的两个部分:规则头(header)和规则选项(General Option) 从开头到括号前属于规则头部分,括号内的部分属于规则选项。规则选项中冒号前面的词叫做选项关键词(option keywords)。如果许多选项组合在一起
双尾巷在大采长综放面瓦斯治理中的应用
07-15
针对阳泉三矿K8206大采长综放面瓦斯超限严重的问题,在K8205工作面开展了"U+II(双尾巷)"型通风方式对大采长综放面瓦斯治理效果的现场考察。结果表明:①双尾巷布置时,双尾巷风排瓦斯量明显大于回风巷风排瓦斯量,在风排...
学习笔记-数据库基本
mtx188的博客
10-27 620
所谓的创建表就是声明列的过程,剩下的就是根据列区添加值 建库:create database (库名); 查看:show databases; 删除:dorp database (); decimal:精确度高于double>float char(0~255)定长字符串,char(M)如果存入小于M个字符,实际占用了M个字符 Varchar()变长字符串,varchar(M)存入小于M个...
30 snort 规则
Ghost
06-21 2271
项关键字。 msg - 在报警和包日志中打印一个消息。 logto - 把包记录到用户指定的文件中而不是记录到标准输出。 ttl - 检查ip头的ttl的值。 tos 检查IP头中TOS字段的值。 id - 检查ip头的分片id值。 ipoption 查看IP选项字段的特定编码。 fragbits 检查IP头的分段位。 dsize - 检查包的净荷尺寸的值 。 flags -
关于钓鱼邮件,你了解多少?(上)
wangluoanquan111的博客
09-12 2674
这一两年来,由于祖国对信息安全的重视,各事业单位、关键基础设施在经过一轮轮hvv的锤炼后,简单的漏洞变得越来越少,蓝队攻击的成本越来越高,要不是有反序列化、fastjson、thinkphp、shiro等饭碗,日子就越来越不好过了。同时也包括一些wa的取证项目,已经很少有thinkphp一把梭的小可爱了。这时候在不想被领导骂菜的情况下,只能研究一下钓鱼了。之前也经常也接到一些钓鱼邮件的实施工作,不过都是gophish加一个企业邮发过去了事。比较浅显,也只是以点击链接给出警示,点到为止。并不会有后续操作。
【真实案例】无痕制作钓鱼邮件
zkaqlaoniao的博客
01-17 4588
进入后台后,左边的栏目即代表各个功能,分别是Dashboard仪表板Campaigns钓鱼事件Users & Groups用户和组Email Templates邮件模板Landing Pages钓鱼页面Sending Profiles发件策略六大功能,接下来逐一介绍此功能。整个钓鱼邮件就搭建好了,这里和以往其他文章不一样的地方在于新增了https协议让其看起来更真实,使用了cdn让蓝队增加溯源难度,更加贴合红队以及常见钓鱼攻击者的攻击手法。
双尾_伸向巴以两国的毒针.pdf
09-11
双尾_伸向巴以两国的毒针 移动安全 安全运营 大数据 漏洞挖掘 云安全
双尾检验和单尾检验.doc
09-11
在这样的分析中,双尾检验和单尾检验是两个核心的概念,它们在检验方法和应用条件上具有显著的差异。理解这两种检验的原理、假设前提及适用情况,对于正确地进行数据分析和科学推断至关重要。 首先,让我们明确双尾...
大采长双尾巷高瓦斯易燃煤层综放工作面内错尾巷与煤自燃的相关关系分析
06-03
大采长高瓦斯易燃煤层综放工作面采用双尾巷治理瓦斯,综放工作面与内错尾巷连接地带煤体由于矿压、采动等原因形成松动圈,煤体破碎。松散煤体进入采空区前经历了氧化过程,进入采区后经过二次氧化极易自燃。选取阳煤...
snort***检测系统(规则
weixin_34413802的博客
05-25 362
snort使用一种简单的,轻量级的规则描述语言,这种语言灵活而强大。在开发snort规则时要记住几个简单的原则。 第一, 大多数snort规则都写在一个单行上,或者在多行之间的行尾用/分隔。Snort规则被分成两个逻辑部分:规则头和规则选项。规则头包含规则的动作,协议,源和目标ip地址与网络掩码,以及源和目标端口信息;规则选项部分包含报警消息内容和要检查的包的具体部分...
snort和nmap
12-06
Snort有三种工作模式:嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。 nmap是一个网络连接端扫描软件,用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端,并且推断计算机运行哪个操作系统(这是亦称 fingerprinting)。它是网络管理员必用的软件之一,以及用以评估网络系统安全。
gonids:gonids是用于解析IDS规则的库,主要侧重于Suricata规则兼容性。 有一个可用的论坛,您可以加入Google网上论坛
05-23
gonids是一个库,用于解析Snort和Suricata之类的引擎的IDS规则。 安装 $ go get github.com/google/gonids 快速开始 将此导入行添加到您正在使用的文件中: import "github.com/google/gonids" 解析规则: rule := `alert tcp $HOME_NET any -> $EXTERNAL_NET 80 (msg:"GONIDS TEST hello world"; flow:established,to_server; content:"hello world"; classtype:trojan-activity; sid:1; rev:1;)` r, err := gonids.ParseRule(rule) if err != nil { // Handle parse error
prometheus告警规则管理
wanger5354的博客
09-09 1807
微型公众号:运维开发故事,作者:夏老师 什么是Rule Prometheus支持用户自定义Rule规则。 Rule分为两类,一类是Recording Rule,另一类是Alerting Rule。Recording Rule的主要目的是通过PromQL可以实时对Prometheus中采集到的样本数据进行查询,聚合以及其它各种运算操作。而在某些PromQL较为复杂且计算量较大时,直接使用PromQL可能会导致Prometheus响应超时的情况。这时需要一种能够类似于后台批处理的机制能够在后台完成这些复杂运.
143-再谈mtx和lock_guard和unique_lock
Edward_LF的博客
05-03 485
1、mutex 不安全,因为代码之间可能由于逻辑走掉了,代码发生异常了,造成锁没有释放掉,成死锁 2、lock_guard 利用的是智能指针的概念。 在它的构造函数里面可以主动的获取这把锁lock。 当这个对象出作用域,自动调用析构函数,析构函数中有释放锁的操作unlock。 它把左值引用的拷贝构造函数和赋值函数都删除掉了。 不可能用在函数参数传递或者返回过程中,因为要用到拷贝构造函数和赋值函数,只能用在简单的加锁解锁临界区代码段的互斥操作中。 只能用在简单的加锁解锁的临界区代码中; 3、un
2021 年 1 月 19 日,星期二Snort 3 正式发布
allway2的博客
06-21 692
我们知道用户多年来一直期待这一天。所以,我们很高兴地宣布Snort 3的正式版本来了!版本号为 3.1.0.0。 Snort 是一种开源入侵防御系统 (IPS),能够进行实时流量分析和数据包日志记录。Snort 3 是我们多年来保护用户网络免受有害流量、恶意软件、垃圾邮件和网络钓鱼文档侵害的旅程的下一步。 当我们开始思考下一代 IPS 是什么样子时,我们决定从头开始。这个最新版本的 Snort 是我们团队七年多开发和辛勤工作的成果。在多年的成...
snort系统规则
我们俩
10-19 2917
Snort系统根据入侵者在进行入侵时所执行程序的某些行为为特征,建立一种入侵行为模型。根据这种行为模型所代表的入侵意图的行为特征,来判断用户执行的操作是否是属于入侵行为。要建立一个这样的特征信息(又称攻击签名) 库的前提是必须建立一个有效、可扩展的特征描述方法,能够描述所有的入侵事件。Snort 规则分为两部分: 规则头部和规则选项。规则头部包含规则的操作、协议、源IP 地址和目标IP 地址及其网
Snort规则分析举例
weixin_33775582的博客
09-11 2548
2019独角兽企业重金招聘Python工程师标准>>> ...
Snort学习笔记
xumesang的专栏
06-08 1263
1. 启动参数"-l logs/":告诉Snort记录包和生成的警告,并将所有内容放入到logs/目录; 2.
snort三种工作模式详解
热门推荐
xumesang的专栏
05-26 1万+
snort有三种工作方式:嗅探器,数据包记录器和网络入侵检测系统.   嗅探器 输入命令: “#snort -v”,即可把TCP/IP包头信息打印在屏幕上,为了方便查看,可以把结果输出到文件中,详情请见文件snort_v.txt,这里只给出部分截图: 如果想(1)看到应用层和数据链路层的数据; (2)把所有的包记录到硬盘上;(3)只对本地网络进行日志.可以使用命令:”# snort
双尾比较器
最新发布
03-18
### 双尾比较器的工作原理与实现方法 #### 工作原理概述 双尾比较器是一种基于差分放大结构的电路,其核心功能是比较两个输入电压并输出相应的高低电平状态。它通常由一对匹配良好的晶体管组成,用于检测输入信号之间的差异。这种类型的比较器广泛应用于模数转换器(ADC)、运算放大器以及其他模拟和混合信号电路中。 在双尾比较器的设计中,电流源作为有源负载提供偏置电流,从而增强增益性能[^1]。当正负输入端施加不同的电压时,其中一个晶体管导通程度更高,而另一个则相应减小导通比例。最终,在输出节点上形成明显的逻辑高或低电平变化。 #### 实现方法详解 以下是关于如何具体实现双尾比较器的一些技术要点: 1. **基本拓扑结构** - 使用NPN型或者PMOS/NMOS场效应晶体管构建差动对。 - 配备共用发射极/源极连接至恒流镜像电路以维持稳定操作条件。 2. **动态范围扩展机制** - 对于某些高级应用场合下可能还需要加入额外补偿网络来改善线性度以及带宽表现。 - 这种改进措施有助于提升整体系统的精确性和响应速度[^2]。 3. **版图优化策略** - 考虑到寄生参数的影响,在实际物理布局阶段应当特别注意保持良好对称性的同时尽量缩短互连线长度。 - 此外还需合理安排电源轨走向避免引入不必要的干扰噪声源影响正常运作效果[^3]。 ```python import numpy as np def comparator_output(v_in_pos, v_in_neg, threshold=0): """ Simulates a basic differential pair comparator output. Parameters: v_in_pos (float): Positive input voltage of the comparator. v_in_neg (float): Negative input voltage of the comparator. threshold (float): Decision boundary for switching outputs. Returns: int: Output state based on comparison result (+1 or -1). """ if abs(v_in_pos - v_in_neg) >= threshold: return 1 if v_in_pos > v_in_neg else -1 else: return 0 # Example usage demonstrating behavior around decision point voltages = np.linspace(-0.5, 0.5, num=100) outputs = [comparator_output(vp, vn := i / 2., .1)] for vp in voltages] print(outputs[:10]) # Display first few results showing transition region characteristics ``` 上述代码片段展示了简单版本的理想化模型仿真过程,其中包含了针对特定阈值设定下的切换判定逻辑处理部分。 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值