Allaple蠕虫家族
在执行期间部署多个指向恶意 DLL 的 COM 对象
广告软件
Citrio 是 Catalina Group 设计的广告软件 Web 浏览器,在其最新版本中使用COM 对象来持久保留 CLSID{F4CBF20B-F634-4095-B64A-2EBCDD9E560E}。它会释放几个有害的 DLL,其中一个伪装成 Google Update(goopdate.dll),也称为 psuser.dll,它具有在系统上建立服务并使用 COM 对象进行持久化的能力。
常用于存储恶意负载的文件夹
到目前为止,我们看到的大多数恶意DLL通常存储在C:\ Users \ \ AppData \ Roaming \目录中。通常在此目录下创建子文件夹,其中最常见的包括:
\qmacro
\mymacro
\MacroCommerce
\Plugin
\Microsoft
除了这些,我们还发现以下文件夹经常被用来隐藏恶意DLL:
C:\Windows\SysWow64是64位Windows版本中的一个文件夹,包含合法的32位系统文件和库,经常被用来隐藏恶意DLL。它的普遍存在使其成为一个吸引人的藏匿地点,增加了检测的复杂性。但是,需要具备权限才能在其中创建文件。
C:\Program Files(x86)文件夹是另一个用于存储恶意COM劫持负载的合法目录。与\AppData\Roaming类似,在这种情况下,我们观察到恶意DLL存储在特定的子文件夹下,例如“\Google”、“\Mozilla Firefox”、“\Microsoft”、“\Common Files”或“\Internet Download Manager”。
C:\Users<user>\AppData\Local是另一个用于存储这些负载的文件夹,包括“\Temp”、“\Microsoft”和“\Google”子文件夹。
总结:
对于上面COM劫持利用方式,有如下Sigma规则:
以下是一个示例规则,例如使用vt.behaviour.registry_keys_set修饰符。规则会生成一些噪声,因此建议通过排除某些常见的家族(如Berbew)来进行优化。
import “vt”
rule CLSID_COM_Hijacking: {
meta:
target_entity = “file”
hash = “a19472bd5dd89a6bd725c94c89469f12cdbfee3b0f19035a07374a005b57b5e0”
author = “@Joseliyo_Jstnk”
sigma_authors = “Maxime Thiebaut (@0xThiebaut), oscd.community, Cédric Hien”
mitre_technique = “T1546.015”
mitre_tactic = “TA0003”
condition:
vt.metadata.new_file and vt.metadata.analysis_stats.malicious >= 5 and
for any vt_behaviour_sigma_analysis_results in vt.behaviour.sigma_analysis_results: (
vt_behaviour_sigma_analysis_results.rule_id == “7f5d257abc981b5eddb52d4a9a02fb66201226935cf3d39177c8a81c3a3e8dd4”
)
}
参考:
https://blog.virustotal.com/2024/03/com-objects-hijacking.html
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!
由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新
如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!
王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。
对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!
【完整版领取方式在文末!!】
93道网络安全面试题
内容实在太多,不一一截图了
黑客学习资源推荐
最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
1️⃣零基础入门
① 学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
② 路线对应学习视频
同时每个成长路线对应的板块都有配套的视频提供:
一个人可以走的很快,但一群人才能走的更远。如果你从事以下工作或对以下感兴趣,欢迎戳这里加入程序员的圈子,让我们一起学习成长!
AI人工智能、Android移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算
Android移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算**