某APT组织利用AVAST杀软的白利用针对越南司法部投放恶意文档

最新推荐文章于 2023-08-21 19:04:52 发布
最新推荐文章于 2023-08-21 19:04:52 发布
阅读量1.5k 收藏
点赞数
分类专栏: 白利用案例 文章标签: AVAST 白利用 APT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cssxn/article/details/90206180
版权

在推特上刷到这条推文
在这里插入图片描述

推文中的博客链接提到这是针对越南司法部的APT攻击,并提供了样本文件Hash

rtf样本文件sha1:
41f0757ca4367f22b0aece325208799135c96ebe1dcafcd752d3f3c8dd4a5ccf

该样本文件运行后会释放两个文件到用户temp目录:

C:\Users\admin\AppData\Local\Temp\wsc.dll
4e88f8a3c3be45e0a59a8868f2b2ace51754fcdbfa9ab618e3d9d0e17831990f

C:\Users\admin\AppData\Local\Temp\wsc_proxy.exe
1948bb0df11f768d6dd30ae7ecec5550db7c817d09cb31b5e2cee9b86a4047da

在这里插入图片描述
其中wsc_proxy.exeAVAST杀毒软件的签名程序,经分析该白程序,会调用同目录下的wsc.dll名为_run@4的导出函数
在这里插入图片描述
释放的wsc.dllgh0st远控客户端,并且还会添加计划任务来达到持久化,每五分钟运行一次`。
在这里插入图片描述

自己在尝试构造这个白利用Demo时,发现导出函数定义不成_run@4这样的名字,后经查询资料发现,原来是调用约定的问题,使用__stdcall就可以了

C语言编译器函数名称修饰规则
__stdcall:编译后,函数名被修饰为“_functionname@number”。
__cdecl:编译后,函数名被修饰为“_functionname”。
__fastcall:编译后,函数名给修饰为“@functionname@nmuber”。
注:“functionname”为函数名,“number”为参数字节数。

下面是测试时导出函数声明的例子

EXTERN_C __declspec(dllexport) void _stdcall run(char* commandline)
{
	WinExec("calc.exe",SW_SHOW);
}

运行wsc_proxy.exe时加载并调用wsc.dll的_run@4函数
在这里插入图片描述

FFE4
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一种“技术”利用绕过杀软执行payload
qq_35586293的博客
09-16 1422
曾经在学校接触过APT攻击,抱着对其心技术的兴趣。闲来无事,自己也尝试着利用利用”技术构造钓鱼文档执行payload,侥幸的是也成功绕过瑞星、火绒等杀毒软件。 在本文中,我将向大家介绍一种APT常用的攻击手法,通过构造恶意的宏文档执行payload。 本次构造的payload所使用的一款程序是certutil.exe。该程序是一个Windows系统的内置程序,用于管理Windows中的证书。...
免杀360过主动防御加入名单代码放出
08-04
免杀过掉360主动防御加入名单代码放出 仍痛割爱的放出来 象征性的收些分吧 希望大家珍惜
利用
kernweak的博客
06-26 2863
利用就是利用已经是名单的文件来达到木马自身的目的,进入名单的文件,又可分为木马作者利用社会工程学,欺骗杀软的分析人员,将木马混入名单和,正常程序本身设计的缺陷导致存在被利用的可能。前者没办法,对于后者,却是可以进行改善的。 比如 1. char __usercall GetQQPCMgrInstallDir@<al>(BYTE *a1@<esi>) { c...
ESET中自带的利用
Sven的忘却日记
10-10 631
习惯每天早上开机后,清理一下垃圾文件,以及检查开机后的进程列表,清理完垃圾,我在CCleaner启动项管理功能下面,发现了一个ESET杀软的启动项 "C:\Program Files\ESET\ESET Security\ecmds.exe" /launch /hide /proxy 感觉挺有意思,就查看该文件所在目录,结果一眼瞄到了一个callmsi.exe 的文件,运行后,和系统的msiex...
杀毒软件公司AVAST再被入侵,目标怀疑仍为CCleaner
blackorbird的博客
10-21 724
前言捷克知名杀软公司AVAST(爱维士),2017年收购了CCleaner母公司Piriform2017年9月18日,著名的系统优化工具CCleaner的某个版本被发现植...
各种杀软卸载
04-19
在IT领域,杀软,全称为“反病毒软件”或“杀毒软件”,是用于保护计算机系统免受病毒、木马、间谍软件等恶意软件侵害的重要工具。然而,有时由于系统更新、软件冲突或者用户更换防病毒解决方案的需求,可能需要卸载...
avast! 4.8
08-19
这个可以用到2010年12月1日的授权码,升级很好!建议朋友们用!
avast serial
07-02
avast serial
杀软的查毒效果评测
09-07
在描述中提到的"病毒测试包",通常是评测人员为了公正公平地比较各杀软的性能而创建的一系列包含已知恶意软件的文件集合。这些文件可能来自公开的病毒样本库,或者由专业机构制造的测试文件。用户可以使用这些测试包...
光华手机杀软序列号&下载地址
07-13
在IT领域,手机杀软是保护移动设备免受病毒、恶意软件和其他网络安全威胁的重要工具。本文将围绕"光华手机杀软"这一主题,详细探讨手机杀毒软件的相关知识点。 首先,标题提到“光华手机杀软序列号&下载地址”,这...
apt34leak.zip
07-06
工具+源码 APT34是一个来自于伊朗的APT组织,自2014年起,持续对中东及亚洲等地区发起APT攻击,涉猎行业主要包含政府、金融、能源、电信等。多年来,攻击武器库不断升级,攻击手法也不断推陈出新,并且攻击行为不会因为被曝光而终止。
利用的集大成者:新型远控木马上演移形换影大法
weixin_33873846的博客
09-14 189
本文讲的是利用的集大成者:新型远控木马上演移形换影大法,经分析,木马利用快捷方式启动,真正的木马本体则藏在与快捷方式文件(证书.lnk)同目录下的“~1”文件夹中(文件夹隐藏)。 其实,将快捷方式作为木马启动跳板的做法本来并不新鲜,有趣的其实是快捷方式指向的程...
APT样本分析 -plugx家族RAT⽊⻢
人饭子的博客
11-06 900
APT样本分析 - plugx家族RAT⽊⻢ ⼀、样本概述 样 本 从 海 莲 花 服 务 器 扒 下 来 的 ( 经 提 醒 修 改 , 原 先 错 误 归 类 为 海 莲 花 ) , wsc_proxy.exe执⾏后加载wsc.dll解密wsc.dump⽂件,得到攻击模块(dll),攻击模块注⼊⾃身到系统进程后连接远控服务器上线,接收执⾏远控功能。远控功能包括:管 理系统、⽂件、屏幕、进程、...
黑客组织从2018年底开始利用CVE-2018-0798公式编辑器漏洞
systemino的博客
08-03 1609
Anomali研究人员在追踪Royal Road RTF文档武器化过程中发现多个攻击组织利用CVE-2017-11882和CVE-2018-0802漏洞。 Anomali研究人员在追踪Royal Road RTF文档武器化过程中发现多个攻击组织利用CVE-2017-11882和CVE-2018-0802漏洞,多个X国攻击组织从2018年12月开始更新了其武器来利用微软公式编辑器漏洞CVE-201...
疑似伊朗APT34 使用新后门针对约旦政府发起新一轮攻击
最新发布
2201_75735270的博客
08-21 102
4 月 26 日,Malwarebytes 发现。该邮件携带一个恶意 Excel 文档,其中包含一个名为Saitama的新后门。研究人员经过分析,APT34 也被称为 OilRig/COBALT GYPSY/IRN2/HELIX KITTEN,被认为是来自伊朗的攻击组织。该组织从 2014年来一直保持活跃,。
[转帖]APT34攻击全本分析
weixin_30628077的博客
05-08 470
APT34攻击全本分析 https://zhuanlan.kanxue.com/article-8401.htm 高手太多 我等菜鸟目不暇接.. 一、事件综述 2019年4月18日,黑客/黑客组织使用假名Lab Dookhtegan在Telegram频道上出售APT34团伙的工具包,此外还有收集到的受害者数据及工具后端面板内容截图。早在2019年3月中旬,该黑客/黑...
APT34泄密武器分析报告
systemino的博客
04-29 1351
APT34是一个来自于伊朗的APT组织,自2014年起,持续对中东及亚洲等地区发起APT攻击,涉猎行业主要包含政府、金融、能源、电信等。多年来,攻击武器库不断升级,攻击手法也不断推陈出新,并且攻击行为不会因为被曝光而终止。 APT34组织背景 4月17日,有国外媒体报道,一个名为“Lab Dookhtegan”的用户在Telegram上曝光了来自APT34组织的攻击工具包,一些APT34的...
+黑(利用)漏洞加载木马技术解析
笔记本
12-08 5186
刚上高中那个暑假?记不太清了,好像就是那个时候开始的加黑木马爆发,因为利用率几乎不可能解决的 逻辑缺陷,所以杀软的防御基本永远没法从根本上去拦截。百度也没什么这个漏洞的基础解析,下面通过编 程实现一个模拟这个漏洞的东西实现加黑技术初步解析。 1.利用漏洞基本原理: 利用了大公司代码的编写缺陷,比如某宝的某个exe程序,自带数字签名,他运行的时候会动态加载其目录下的dll文件 (l...
黑客泄露APT 34组织工具、成员信息,扬言更多秘密将持续曝光
systemino的博客
04-19 719
网络安全世界,黑吃黑的情况并不少见。2017年,Shadow Brokers入侵了美国NSA下属黑客组织Equation Group,下载了大量工具在网上售卖,永恒之蓝工具包就是其中之一,这也直接导致了后来的 WannaCry 事件。 近期,有匿名黑客开始泄露伊朗间谍组织APT 34(OilRig 或者 HelixKitten) 所使用的黑客工具,甚至还包括团队成员及受害者数据信息等等。虽然...
Avast Free Antivirus
02-06
Avast Free Antivirus 是一款免费的反病毒软件,它能帮助用户保护计算机免受病毒、间谍软件、蠕虫、恶意软件等威胁的侵害。它可以在实时中检测和阻止恶意软件的进入,并且还可以扫描电脑上已安装的软件,确保它们不会对系统造成威胁。Avast Free Antivirus 还提供了一些额外的功能,包括垃圾邮件过滤器、网络安全扫描、密码管理器等,能帮助用户更好地保护其在线隐私和安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值