威胁情报
一、FIN7针对餐饮业继续攻击
仍然是典型的FIN7手段,恶意宏,通过VBScript执行JavaScript后门
本次样本中宏打开如下,且宏有密码保护,密码为“goodmorning”
最后运行的JavaScript具有后门功能,会直接与C2通信(bing-cdn.com),还会把主机信息传回C2
下面是同源找的另一段,还具有反虚拟机的功能呢
通过vbcontrol文件中的明文字符串可以加yara规则,进而进一步找同源样本
相关链接:
http://blog.morphisec.com/fin7-not-finished-morphisec-spots-new-campaign
二、
turla通过png dropper回归
png dropper,在2017年被俄罗斯APT组织turla用于分发snake远控(此前png dropper的分析文章见此
https://www.carbonblack.com/2017/08/18/threat-analysis-carbon-black-threat-research-dissects-png-dropper/ )
近期其分发了一个新的payload,被命名为RegRunnerSvc
首先是加载方式
png dropper的目的是加载和运行隐藏在许多PNG文件中的PE文件,如下为资源文件
dropper会枚举每个PNG资源并提取像素数据,然后将它们拼接在一起,最后手动加载PE文件。该PE则为RegRunnerSvc,该pe的目的是从注册表中提取加密的payload,并将其加载到内存中,然后运行它。这中间解密的步骤比较繁琐
提取png的PE程序如下,之后变种估计也可以改改继续用。
https://github.com/nccgroup/Cyber-Defence/tree/master/Scripts/turla_image_decoder
原文中还有找这类png dropper和png图像的yara规则,有需要自取
相关链接:
https://www.nccgroup.trust/us/about-us/newsroom-and-events/blog/2018/november/turla-png-dropper-is-back/
三、双尾蝎组织新情报,通过新闻pdf传播
02c27cbb38d275339f723589192b9bab2d6252c3 a38b7446dc91019be029776dae50e54c1ae016f7 71f9124084c4f5527341a5e770f0792367a3484e
C&C domain: my-files[.]host
安全资源
#安全大会# POC 2018 大会议题资料公开:
https://sec.today/events/932399cb-22b0-4e9b-8795-a4f38886110a/
POC 大会历届会议议题资料整理:
https://sec.today/search/?q=poc&type=Events&order_by=datetime
yuange 发了一篇文章 安全编程模型 2000年研究IIS,总结原来的漏洞,归纳、总结、创新,建立自己的模型,对安全的理解,然后再指导漏洞研究。很快就取得很好的效果。
这就是我这几年一直在提的安全研究也要学数学的归纳、总结、创新的路子,以及我创新的归纳出对安全的理解:安全是一个条件语句。最后对于安全编程就是模块一定要严格按编程接口要求实现功能,否则就是bug。 “安全是一个条件语句”,这个总结加上以前的一些理解,出来了后来的DVE利用。安全编程的接口模型,指导找出了很多漏洞。这个文件名fuzz测试就暴露了很多问题,半个汉字,“.”、“ ”字符的截断、设备名等。
相关链接:
https://weibo.com/ttarticle/p/show?id=2309404309504354308682&is_all=1&sudaref=t.co&display=0&retcode=6102
黑色星期五最后一天的价格,各位速进