APT
文章平均质量分 77
建瓯最坏
APT组织跟踪,病毒分析,逆向/二进制研究人员
展开
-
【调试环境】Automation服务器不能创建对象 | EvilNum的JavaScript
Win7 + IE8调试的HTML代码错误IE设置????????????注册表????????????成功????????????允许阻止的内容安全警告-是允许ActiveX交互F12进行调试停止运行脚本脚本窗口调试状态调试的HTML代码<!DOCTYPE html><html><head><meta charset="utf-8"><title>建瓯最坏JavaScript脚本调试</title></head&g原创 2021-06-17 15:42:45 · 657 阅读 · 1 评论 -
疑似APT组织响尾蛇的JavaScript脚本调试分析
APT组织响尾蛇JavaScript脚本调试分析样本描述样本分析投递手法HTA - JS代码JavaScript调试方式样本描述响尾蛇投递与巴基斯坦外交政策有关的LNK文件。LNK文件不携带主要的恶意代码,而是作为一段简短的下载器代码执行。使用命令中的“mshta.exe”执行从远程服务器下载HTA文件。下载的HTA文件是一个使用JavaScript写的经过自定义Base64编码混淆处理的下载器,带有检测环境(反病毒程序安装情况)并回传的功能。样本分析投递手法初始文件是一个伪装为PDF文档的快原创 2021-06-15 19:07:50 · 99438 阅读 · 8 评论 -
APT污水 - 使用多阶段高度混淆的PowerShell在内存中运行
通过恶意宏开启多阶段高隐藏攻击链拥有历史传承的社工手法????宏入口UserForm2.Gladiator_CRKUserForm1注册表PowerShell拥有历史传承的社工手法????文档打开后会通过模糊图片和文字欺骗受害者启用宏。宏代码运行后会弹出虚假的提示,表示“由于版本不兼容所以无法查看文档。”等:污水这个显示效果和文字内容已经使用很久了:宏入口从宏代码的入口就可以发现这个攻击链有一些特殊,并不是所有代码都放在默认的位置一次性执行。先从入口的“Document_Open()”函数执原创 2021-05-31 20:17:15 · 4706 阅读 · 0 评论 -
图片隐写术 - 透明部落通过BMP的RGB通道隐藏PE数据
透明部落通过BMP的RGB通道隐藏PE数据报告和样本[《Transparent Tribe APT expands its Windows malware arsenal》](https://blog.talosintelligence.com/2021/05/transparent-tribe-infra-and-targeting.html)[《ObliqueRAT returns with new campaign using hijacked websites》](https://blog.talo原创 2021-05-21 19:52:54 · 1068 阅读 · 0 评论 -
网络安全大事件(自用)
@TOC2020SolarWinds遭到供应链攻击安装Sunburst后门2020年12月13日,美国网络安全公司FireEye发布分析报告称[1],SolarWinds 旗下的Orion基础设施管理平台的发布环境遭到黑客组织入侵,黑客对文件SolarWinds.Orion.Core.BusinessLayer.dll的源码进行篡改添加了后门代码,该文件具有合法数字签名会伴随软件更新下发。后门代码伪装成Orion OIP协议的流量进行通信,将其恶意行为融合到SolarWinds合法行为中。FireE转载 2021-03-21 17:14:07 · 1208 阅读 · 0 评论 -
【草稿待完成】从StrongPity一联网组件到APT的溯源与追踪-下-APT追踪和情报系统
草稿草稿NIST网络安全框架自适应威胁情报管理平台(TIMP)NIST网络安全框架NIST网络安全框架分为3个部分,分别是:风险管理过程、集成风险管理项目和外部参与;以及4个层次,这4层反映组织的安全成熟度水平,分别是:局部、风险指引、可重复和自适应。自适应自适应是网络安全框架中最高的级别,在风险管理过程中更有预测性,而非是传统的响应式。笔者个人认为如果需要支撑上文中“预测性”的可能,是需要大量的数据判断,进行一些可推测可预见的判断。这又引申出了另一个网络安全框架的概念——“连续监控”。威胁情报原创 2021-03-16 19:46:14 · 186 阅读 · 0 评论 -
【待完成】从StrongPity一联网组件到APT的溯源与追踪-中-从单一样本到历史样本和初始载荷
预测和规则发现原创 2020-12-03 11:05:04 · 221 阅读 · 0 评论 -
从StrongPity一联网组件到APT的溯源与追踪-上-样本分析与YARA规则
联网样本分析与初始载荷公开情报中的StrongPity联网组件样本特征及检测规则YARA规则思路特殊字符串字符串分离赋值代码特殊函数基于PE结构寻找同源基于组件找初始载荷公开情报中的StrongPity联网组件2020年5月23日,推特用户发布了一条推文,公开一个StrongPity的样本信息:分析后发现这是一个很明显的多组件攻击链中的联网组件,且该组织的披露信息较少,产生了好奇心,于是对其进行分析和历史样本查找。样本特征及检测规则具体行为总结如下:拼接字符串,解密部分拼接的字符串;创建“原创 2020-12-03 11:05:36 · 368 阅读 · 0 评论 -
【建瓯最坏】APT的YARA规则
@TOC地区亚洲【】复现过程启动环境https://blog.csdn.net/JiangBuLiu/article/details/93853056进入路径为cd /root/vulhub/【】搭建及运行漏洞环境:docker-compose build && docker-compose up -d用时:分钟环境启动后,访问http://your-ip:8080和http://your-ip:4848即可查看web页面。其中,8080端口是网站内容,4848端原创 2021-02-05 21:01:19 · 467 阅读 · 0 评论 -
APT写作素材 - 专业术语 | 素材——君子性非异,善假于物也
APT写作素材 - 专业术语Windows系统上的代码执行的方法BYOB: Bring Your Own BinarLotL: Living off the LandBYOL: Bring Your Own LandWindows系统上的代码执行的方法BYOB: Bring Your Own Binar把后门、工具、武器编译成exe文件,上传到目标主机上并运行。这也是最直接的执行方式。缺点是需要不断的编译和上传、要处理杀软和EDR的静态检测等等。LotL: Living off the Land可原创 2021-01-06 11:19:15 · 279 阅读 · 0 评论 -
APT攻击流程图画法参考
APT攻击流程图画法参考画图网站多组件多阶段多次网络链接画图网站我用免费的ProcessOn,图标比较多也好看多组件多阶段忽略其中出现的网络连接行为,很适合多阶段多组件(文件)的行为描述多次网络链接...原创 2021-01-06 10:27:20 · 1508 阅读 · 0 评论 -
双尾蝎后门程序
样本分析投递手法通过钓鱼邮件投递以IT从业者简历为主题的可执行文件,该文件通过长文件名+WORD图标的方式,伪装为文档诱骗收件人下载打开。执行流程样本详细分析该Delphi可执行文件运行后会通过窗体TForm1类中设置的3个按钮控件和4个计时器控件的响应事件,执行对应功能,如截图,下载文件,执行Shell代码等。执行Timer后根据执行结果,杀死以及设置/新建Timer控制逻辑,下文不再赘述:Time1释放掩饰文档首先被执行的是Time1,用来释放掩饰文档以及进入Button2控件的响应事件原创 2020-12-01 19:30:18 · 1034 阅读 · 1 评论 -
隐身9年的俄罗斯APT组织XDSpy及其XDDown攻击链分析
样本分析投递手法 - 钓鱼邮件+恶意附件压缩包通过钓鱼邮件投递针对俄罗斯,以失物认领为主题的武器化PPSX格式的附件,诱骗收件人下载打开,打开后会执行JS脚本“MicrosoftPowerPoint.js”,释放并执行PE文件。执行流程样本详细分析钓鱼邮件恶意附件PPSX由于PPSX格式的攻击载荷比较少见,此处简单介绍一下该格式与PPTX格式的区别:PPTX:普通可编辑模式。打开后呈现的页面就是可编辑的页面,要播放需要单击播放按钮才能全屏播放。PPSX:放映格式。打开后直接就是全屏放映,没法原创 2020-12-01 20:19:07 · 1016 阅读 · 4 评论