【待完成】从StrongPity一联网组件到APT的溯源与追踪-中-从单一样本到历史样本和初始载荷

最新推荐文章于 2021-06-17 15:42:45 发布
最新推荐文章于 2021-06-17 15:42:45 发布
阅读量235 收藏
点赞数
分类专栏: APT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JiangBuLiu/article/details/110523236
版权

从单一样本追踪溯源APT历史样本和初始载荷

基于PE结构寻找同源样本

Icon图标Hash

通过VT搜索该PE文件的Icon哈希值
在这里插入图片描述
发现有大量文件关联,将其按检测率分类:
在这里插入图片描述
文件有比较大的比例为检测率为0的文件为Windows官方程序,可认为StrongPity的攻击者通过提取官方文件和官方信息,来伪装恶意载荷:
在这里插入图片描述
而检测率高的部分中,有3个同名(“SecurityHost.exe”)的文件,分析后发现都是StrongPity的恶意载荷的变种,“版本号”分别为:

MD5 “版本号”
363377166D8F1DEC7DA59958BAE61881 v18_kt19p1
FF9B1E2D7AD8B022F3FD3D9395382CF5 v18_kt68p1
D4057C628387F461B15EC7AD78DE6CA1 v18_kt20p0

ImpHash和version_info

分析上述通过Icon关联出的恶意样本可以发现,起码在v18版本中,有共同点:

相同点 相同值
Product Windows
Original Name SecurityHost.exe
ImpHash 90570395bfeb43df5c7a271296b7c409
最低0.47元/天 解锁文章
建瓯最坏
关注
专栏目录
telfhash:ELF文件的符号哈希
05-25
趋势科技ELF哈希(telfhash) telfhash是ELF文件的符号哈希,就像imphash是PE文件的导入哈希一样。 安装 要求 telfhash在生成哈希时使用TLSH。 必须在您的系统安装TLSH才能使telfhash正常工作。 您可以从此处安装TLSH: TLSH git repo包含有关如何编译和安装TLSH二进制文件和库的详细说明。 别忘了还要安装TLSH Python库。 telfhash使用TLSH Python库生成实际的哈希。 正在安装 从此处克隆telfhash存储库: 使用setup.py安装telfhash库: python setup.py install 用法 如果未安装TLSH Python库,则telfhash将生成异常错误。 命令行 如果通过python setup.py install命令python setup.py instal
静态扫描之ImpHash检测法
安全杂货铺
01-10 2763
使用 Import Hashing 检测恶意软件 翻译自:https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html 一种特殊的检测恶意软件的方法是检测其PE文件导入表(Imports),导入表就是一个包含所有调用函数(一般是调用自Windows系统各种DLL)的表。对于每个
计算PE文件的imphash
yellow的博客
05-22 1040
最近virustotal发现一个Darkside家族样本满足yara规则如下: rule Unspecified_Malware_Sep1_A1 { meta: description = "Detects malware from DrqgonFly APT report" license = " " author = " " reference = " " date = " " hash = "243dff06fc80a049f4fb37292f8b8def0fce
Hash_Malware_Classifier:基于Imphash和Fuzzyhash的恶意软件分类器
05-16
Hash_Malware_Classifier 基于Imphash和Fuzzyhash的恶意软件分类器 使用Imphash和Fuzzyhash的恶意软件分类程序是在监督学习的指导下进行的程序。 该程序将包含文件的文件夹作为训练集,并为其生成哈希签名。 哈希通过文件的唯一消息摘要值相互关联。 一旦创建了签名数据库,分类器就可以在未知文件集上运行,以检查它们是否类似于数据库的文件。 该程序可用于恶意软件操作,以构建一个系统来聚类相似的恶意软件或文件样本。 然后可以隔离这些群集文件,并可以为群集设计字符串签名(例如yara,AV)。 设置分类器 支持:Unix / Windows,在Unix上测试依存关系: Python模块:pefile Python模块:ssdeep 执行程序 用法:program.py命令目录命令:'build'-构建imphash签名'匹配'-比较带有签名的文件
微软轻量级监控工具sysmon原理与实现
浪子_三少(邮箱:basketwill@qq.com)
12-26 7074
Sysmon是微软的一款轻量级的系统监控工具,被常常用来进行入侵检测分析,它通过系统服务和驱动程序实现记录进程创建、文件访问以及网络信息的记录,并把相关的信息写入并展示在windows的日志事件里。经常有安全人员使用这款工具去记录并分析系统进程的活动来识别恶意或者异常活动,下面开始讲解该软件的原理与实现。          下面开始上篇的讲解,ring3实现对网络数据记录以及对驱动返回的数据进行...
通信与网络的Moxa推出NPort 5600-8-DT桌面型串口联网服务器
11-30
这不仅使得单一设备可以通过一个网口连接网络或设备,另一个网口则可以连接其他网络设备,避免了每台设备都需要独立的以太网交换机接口,从而降低了系统的成本和复杂性。双网口设计增强了网络冗余,确保了数据传输的...
通信与网络的对iPad不能连接到无线局域网这一问题的解析
10-22
iPad无线局域网性能问题的原因可能涉及到使用任何Wi-Fi设备所遇到的常见问题也可能涉及到iPad内置Broadcom 802.11n芯片所存在的问题。  Wi-Fi 原先是无线保真的缩写,Wi-Fi 的英文全称为wireless fidelity,在无线...
《华为云物联网平台技术与实践》-教学大纲.docx
最新发布
12-17
华为云物联网平台技术与实践教学大纲是为了帮助学生和开发者快速掌握华为云物联网平台的技术和实践经验,课程涵盖了华为云物联网平台的架构、功能和应用场景等方面的知识。 知识点1:华为云物联网平台架构 华为云物...
西门子S7-1200PLC控制器产品选型样本.rar
06-19
在“S7-1200产品选型样本.pdf”和“S7-1200可编程控制器 样本.pdf”这两份文档,详细列出了各型号的特性、技术参数和选型指导,可以帮助用户根据具体需求做出最适合的选择。 总的来说,西门子S7-1200PLC控制器是...
2022年优秀-车联网与智能交通信息服务关键技术研究与应用.pptx
11-14
【车联网与智能交通信息服务关键技术研究与应用】 车联网与智能交通信息服务是近年来信息技术与交通领域深度融合的重要成果,旨在提升道路交通安全、效率和舒适性。福建工程学院的研究团队在该领域进行了深入研究,...
建瓯最坏的YARA - APT | 病毒检测 | 常用模块和字段
JiangBuLiu的博客
01-26 1007
建瓯最坏的APT规则的YARA常用字段YARA规则PE模块文件类型判断 YARA规则 PE模块 文件类型判断 Dll文件:pe.is_dll() 32位:pe.is_32bit() 64位:pe.is_64bit() 文件大小:filesize < 100KB 文件区间:(如66KB) 33KB < filesize < 99KB,会报错,YARA官方文档没有搜到区间怎么写,加了括号(33KB < filesize < 99KB)也不行 最后写成这样可以:(33KB <
疑似APT组织响尾蛇的JavaScript脚本调试分析
热门推荐
JiangBuLiu的博客
06-15 10万+
APT组织响尾蛇JavaScript脚本调试分析样本描述样本分析投递手法HTA - JS代码JavaScript调试方式 样本描述 响尾蛇投递与巴基斯坦外交政策有关的LNK文件。 LNK文件不携带主要的恶意代码,而是作为一段简短的下载器代码执行。使用命令的“mshta.exe”执行从远程服务器下载HTA文件。 下载的HTA文件是一个使用JavaScript写的经过自定义Base64编码混淆处理的下载器,带有检测环境(反病毒程序安装情况)并回传的功能。 样本分析 投递手法 初始文件是一个伪装为PDF文档的快
APT污水 - 使用多阶段高度混淆的PowerShell在内存运行
JiangBuLiu的博客
05-31 4781
通过恶意宏开启多阶段高隐藏攻击链拥有历史传承的社工手法????宏入口UserForm2.Gladiator_CRKUserForm1注册表PowerShell 拥有历史传承的社工手法???? 文档打开后会通过模糊图片和文字欺骗受害者启用宏。宏代码运行后会弹出虚假的提示,表示“由于版本不兼容所以无法查看文档。”等: 污水这个显示效果和文字内容已经使用很久了: 宏 入口 从宏代码的入口就可以发现这个攻击链有一些特殊,并不是所有代码都放在默认的位置一次性执行。先从入口的“Document_Open()”函数执
APT攻击流程图画法参考
JiangBuLiu的博客
01-06 1544
APT攻击流程图画法参考画图网站多组件多阶段多次网络链接 画图网站 我用免费的ProcessOn,图标比较多也好看 多组件多阶段 忽略其出现的网络连接行为,很适合多阶段多组件(文件)的行为描述 多次网络链接 ...
图片隐写术 - 透明部落通过BMP的RGB通道隐藏PE数据
JiangBuLiu的博客
05-21 1089
透明部落通过BMP的RGB通道隐藏PE数据报告和样本[《Transparent Tribe APT expands its Windows malware arsenal》](https://blog.talosintelligence.com/2021/05/transparent-tribe-infra-and-targeting.html)[《ObliqueRAT returns with new campaign using hijacked websites》](https://blog.talo
双尾蝎后门程序
JiangBuLiu的博客
12-01 1062
样本分析 投递手法 通过钓鱼邮件投递以IT从业者简历为主题的可执行文件,该文件通过长文件名+WORD图标的方式,伪装为文档诱骗收件人下载打开。 执行流程 样本详细分析 该Delphi可执行文件运行后会通过窗体TForm1类设置的3个按钮控件和4个计时器控件的响应事件,执行对应功能,如截图,下载文件,执行Shell代码等。 执行Timer后根据执行结果,杀死以及设置/新建Timer控制逻辑,下文不再赘述: Time1释放掩饰文档 首先被执行的是Time1,用来释放掩饰文档以及进入Button2控件的响应事件
隐身9年的俄罗斯APT组织XDSpy及其XDDown攻击链分析
JiangBuLiu的博客
12-01 1034
样本分析 投递手法 - 钓鱼邮件+恶意附件压缩包 通过钓鱼邮件投递针对俄罗斯,以失物认领为主题的武器化PPSX格式的附件,诱骗收件人下载打开,打开后会执行JS脚本“MicrosoftPowerPoint.js”,释放并执行PE文件。 执行流程 样本详细分析 钓鱼邮件恶意附件PPSX 由于PPSX格式的攻击载荷比较少见,此处简单介绍一下该格式与PPTX格式的区别: PPTX:普通可编辑模式。打开后呈现的页面就是可编辑的页面,要播放需要单击播放按钮才能全屏播放。 PPSX:放映格式。打开后直接就是全屏放映,没法
【调试环境】Automation服务器不能创建对象 | EvilNum的JavaScript
JiangBuLiu的博客
06-17 684
Win7 + IE8调试的HTML代码错误IE设置????????????注册表????????????成功????????????允许阻止的内容安全警告-是允许ActiveX交互F12进行调试停止运行脚本脚本窗口调试状态 调试的HTML代码 <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>建瓯最坏JavaScript脚本调试</title> </head&g
Open-Falcon安装指南:从环境准备到告警组件配置
安装过程,确保机器能够联网,以便于下载必要的依赖和执行后续操作。 1. **说明** Open-falcon要求的操作系统是64位,推荐使用CentOS 6.4。为了保证安装顺利,系统需具备网络连接。此外,虽然在这个示例所有...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值