澳大利亚通信公司失陷,被利用分发恶意样本

已于 2024-01-05 21:07:08 修改
阅读量160 收藏
点赞数
分类专栏: web安全 网络安全 安全 文章标签: web安全 网络安全
于 2023-03-06 17:21:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/QXXXD/article/details/129366823
版权
网络安全 同时被 3 个专栏收录
64 篇文章 6 订阅
订阅专栏
web安全
57 篇文章 1 订阅
订阅专栏
安全
54 篇文章 3 订阅
订阅专栏

近日,微软披露 Microsoft Office 存在远程代码执行漏洞 CVE-2022-30190。Avast 的研究人员发现澳大利亚通信公司 VOIPS Telecom 帕劳分公司已经被攻陷,用于分发恶意软件。受害者打开恶意文档后,将会通过恶意网站下载并执行恶意软件。

复杂攻击

攻击分为多个阶段,相对复杂。攻击者使用 LOLBAS(Living off the Land Binaries And Scripts)技术,利用 CVE-2022-30190 漏洞恶意代码,无需将可执行文件落地,尽量降低端点检出可执行文件的可能性。为了最大限度保持隐蔽,攻击者在多个阶段中都使用了合法签名。

第一阶段

失陷的网站上部署了一个名为robots.txt的可执行文件,这样在日志中即使被发现也能够尽可能不引起管理人员的注意。调用微软支持诊断工具程序(msdt.exe),下载
robots.txt并保存为 Sihost.exe,最后执行恶意程序。

image.png-89.8kB下载文件

image.png-1421.1kB网络流量

image.png-129kB解码命令

第二阶段

当 msdt.exe 执行 Sihost.exe 时,样本会下载第二阶段的
Loader(b63fbf80351b3480c62a6a5158334ec8e91fecd057f6c19e4b4dd3febaa9d447)。下载的
Loader 用于下载和解密第三阶段的恶意文件,该文件为也在相同 Web 服务器上部署的加密文件 favicon.svg。

image.png-76.9kB解密操作

image.png-35.4kB样本下载

第三阶段

加密文件 favicon.svg 被解密后,会下载第四阶段的样本。

image.png-462.5kB解密样本示例

image.png-323.9kB样本下载

这些样本也是部署在 palau.voipstelecom.com.au上的,被命名为 Sevntx64.exeSevntx.lnk

第四阶段

恶意样本执行时,会加载一个长为 66kb 的 Shellcode 程序。该程序名为 Sevntx64.exe,是 AsyncRAT 家族的恶意程序,且与
Sihost.exe使用相同的证书进行签名。

image.png-561.4kB加载
Shellcode

第五阶段

感染链的最后,攻击者部署 AsyncRAT
远控木马(aba9b566dc23169414cb6927ab5368b590529202df41bfd5dded9f7e62b91479)。木马与
palau.voipstelecom.com.au 的 443 端口进行 C&C 通信。

image.png-1081.9kBAsyncRAT
配置信息

回溯

研究人员也发现了恶意软件的早期版本:

文件哈希首次发现
Grievance Against Lawyers, Judge or Justice.doc.exe (signed)
87BD2DDFF6A90601F67499384290533701F5A5E6CB43DE185A8EA858A060497426.05.2022

Grievance Against Lawyers, Judge or Justice (1).zip\Grievance Against Lawyers,
Judge or Justice.doc.exe|
0477CAC3443BB6E46DE9B904CBA478B778A5C9F82EA411D44A29961F5CC5C842| 18.05.2022

IOC

0af202af06aef4d36ea151c5a304414a67aee18c3675286275bd01d11a760c04
b63fbf80351b3480c62a6a5158334ec8e91fecd057f6c19e4b4dd3febaa9d447
ed4091700374e007ae478c048734c4bc0b7fe0f41e6d5c611351bf301659eee0
9651e604f972e36333b14a4095d1758b-50decda893e8ff8ab52c95ea89bb9f74
f3ccf22db2c1060251096fe99464002318baccf598b626f8dbdd5e7fd71fd23f
33297dc67c12c7876b8052a5f490cc6a4c50a22712ccf36f4f92962463eb744d
7d6d317616d237ba8301707230abbbae64b2f8adb48b878c528a5e42f419133a
aba9b566dc23169414cb6927ab5368b590529202df41bfd5dded9f7e62b91479

参考来源

[Avast](https://decoded.avast.io/threatintel/outbreak-of-follina-in-
australia/)

资料分享

我们作为一个小白想转行网络安全岗位,或者是有一定基础想进一步深化学习,却发现不知从何下手。

其实如何选择网络安全学习方向,如何进行实战与理论的结合并不难,找准正确方式很重要。

接下来我将从成长路线开始一步步带大家揭开网安的神秘面纱。

1.成长路线图

共可以分为:

一、基础阶段

二、渗透阶段

三、安全管理

四、提升阶段

在这里插入图片描述

同时每个成长路线对应的板块都有配套的视频提供:
在这里插入图片描述

视频配套资料&国内外网安书籍、文档
在这里插入图片描述在这里插入图片描述

在这里插入图片描述

网络安全面试题

最后就是大家最关心的网络安全面试题板块
在这里插入图片描述
在这里插入图片描述
所有资料共87.9G,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,可以扫描下方CSDN官方合作二维码免费领取(如遇扫码问题,可以在评论区留言领取哦)~

QXXXD
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
128-记一次内网失陷的应急响应.pdf
09-20
128-记一次内网失陷的应急响应.pdf
浅析企业安全中的失陷主机检测
云翼说安全
03-09 7143
随着目前信息技术的迅猛发展,企业内部网络威胁形式呈现了多样化、复杂化的特点,也面临着如APT攻击等新一代威胁的挑战,这一类威胁不仅传播速度更快,其利用的攻击面也越来越宽广,在这种威胁的常态下仅仅依靠传统的防火墙、入侵检测等安全防护设备已经不能完全满足企业用户的网络安全防护需要。以网络安全PDR模型来看,传统网络安全还是以“防护(P)”为主,但是随着攻击技术的发展,原有的防御手段不能...
全球十大咨询公司比较
热门推荐
喜欢打酱油的老鸟
03-01 3万+
https://www.toutiao.com/a6662966317420642828/ 2019-02-28 16:32:16 (1)麦肯锡 麦肯锡是全球最有实力的咨询公司之一。其办公室和办公室遍布全球,提供企业管理咨询服务。麦肯锡牛气哄哄的名气让咨询顾问的身价倍升。 来自全球 81个国家,9000多名顾问,平均每人45万年薪。其客户同样如此牛气哄哄,像百事高,AT&...
卷积神经网络「失陷」,CoordConv来填坑
jacke121的专栏
07-15 2896
卷积神经网络「失陷」,CoordConv来填坑2018-07-13 11:56选自Uber作者:Rosanne Liu等卷积神经网络拥有权重共享、局部连接和平移等变性等非常优秀的属性,使其在多种视觉任务上取得了极大成功。但在涉及坐标建模的任务上(如目标检测、图像生成等),其优势反而成为了缺陷,并潜在影响了最终的模型性能。Uber 在这项研究中揭示出问题的本质就在于卷积的平移等变性,并据此提出了对应...
阿里云服务器安全警告-异常网络连接-访问恶意域名
NULL
05-05 4548
前言 公司服务器其最近被攻击了,以前没有在意,觉得每次都发警告没什么重要的,服务器能跑就行了。 但是,最近服务器客户打电话说服务器 cpu跑满了,让我来进行升级服务器内存,我说以前都是好好的,怎么一下子就满了呢? 接下来登录阿里云安全中心发现 阿里云服务器被人用挖矿程序 一直吃服务器的cpu,导致服务器直接cpu直接拉满了,登录了安全中心发现我的AccessKey被泄露了,估计有人用我...
漫谈程序员系列:程序员该不该考虑初创公司
安晓辉生涯——聚焦程序员的职业规划与成长
01-16 1万+
IT 这个行业,最不缺的就是机会,追逐机会的,有各种各样的小公司,也有各种种样的程序员。如果你考虑一个创业公司,一定要问自己这几个问题……
SolarWinds失陷服务器测绘分析报告1
08-03
SolarWinds失陷服务器测绘分析报告1
失陷云服务器安全监控研究.pdf
07-24
失陷云服务器安全监控研究.pdf
利用GPS研究汾渭断陷带现今变形.pdf
09-07
利用GPS研究汾渭断陷带现今变形.pdf
从内部防护汽车网络安全——硬件安全模块(HSM)保护ECU主处理器内部
dianqicyuyan的博客
04-23 284
HSM是一种硬件,它以物理方式封装了安全功能。其集成芯片专为IT安全应用而设计,通常具有自己的处理器核心、各种内存(RAM、ROM、闪存等)和硬件密码加速器。此外,HSM必须满足用于车辆应用的特定标准,并且极其有效的集成对于降低成本至关重要。其主要要求包括ECU应用程序和HSM之间的安全接口,以及用于分析故障的调试/测试接口。HSM必须能够以尽可能短的等待时间处理加密信息,并能够承受汽车环境中的标准温度。从根本上说,HSM通过其自己的处理器核心来执行汽车应用场景所需的所有IT安全功能。
网络安全(黑客)—2024自学
dexi1113的博客
04-16 1716
我在这里可以很肯定地告诉你:"网络安全有很好的发展前景,前沿网络安全技术即将崛起,或者说已经崛起"。
网络安全(黑客技术)—2024自学
TDJYGC的博客
04-17 1476
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
网络安全】常见的网路安全设备及功能作用总结
白帽黑客八哥的博客
04-22 333
一种整合多种安全功能(如防火墙、防病毒、内容过滤等)于一体的网络安全设备。
网络安全之SQL注入及防御(下篇)
weixin_70911257的博客
04-23 1183
sql注入waf绕过
网络安全】HTTP协议 — 特点
享你所想
04-23 864
【问题】为什么登录一个某些网站后,间隔一段时间,网站还是知道我们是谁呢?方法是为了告知服务器,该请求的意图是什么,向服务器所请求的资源下达命令。Http协议规定,请求从客户端发起,由服务端来响应该请求并返回。2)持久连接(HTTP keep alive)有问题可私聊:QQ:3375119339。1.URI(统一资源标识符)1)持久连接要解决的问题。五、持久连接&管线技术。1.不保存状态的协议。六、cookie技术。
网络安全实训Day16
最新发布
Yisitelz的博客
04-26 258
网络空间安全第16天学习笔记。漏洞扫描;内网渗透
网络安全新挑战:通用人工智能(AGI)等级保护指南
junge_sys的博客
04-24 656
通用人工智能(Artificial General Intelligence,AGI),又称强人工智能或深度人工智能,是一种高度先进的智能系统,它具备与人类相似甚至超越的智能属性,包括学习、推理、问题解决以及对新环境的自适应能力。因此,在定级过程中,需对数据的安全性进行细致评估,并采取相应的保护措施。综上所述,鉴于AGI系统在业务关键性、数据敏感度、系统复杂性、法规遵从性、行业监管适应性以及市场声誉影响力等方面的多重考量,其等保定级应至少设定为三级,以确保全面满足各项严苛要求,为企业的智能化转型保驾护航。
暴力破解管理员账户可能会网站主机失陷吗?
07-12
暴力破解管理员账户可能导致网站主机失陷的风险增加,...请注意,没有绝对安全的系统,但通过采取适当的安全措施可以大大降低网站主机被失陷的风险。如果您对网站安全有任何疑虑,建议咨询专业的安全专家或网络管理员。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值