RedLeaves和PlugX恶意软件是如何工作的?

最新推荐文章于 2024-04-30 00:00:00 发布
最新推荐文章于 2024-04-30 00:00:00 发布
阅读量286 收藏 1
点赞数
文章标签: 网络
原文链接:https://yq.aliyun.com/articles/181027
版权

国家网络安全和通信集成中心了解到针对各个垂直行业的多种恶意软件植入,包括RedLeaves和PlugX。这些恶意软件是如何工作的?我们该如何应对?

RedLeaves和PlugX恶意软件是如何工作的?

Judith Myerson:攻击者利用系统管理员的身份启动多种恶意软件,包括RedLeaves和PlugX。它们使用开放源代码PowerSploit,这是一个PowerShell工具,以供渗透测试人员攻击系统使用。

RedLeaves和PlugX/Sogu基于现有的恶意软件代码,但已被修改,以避开现有的防病毒签名进行检测。植入目标系统后,它们通过使用三个文件的动态链接库(DLL)侧面加载技术在系统上执行:

  • 一个非恶意可执行文件开始安装;
  • 恶意的DLL加载程序;
  • 将程序解码到内存中的编码有效载荷文件。

RedLeaves恶意软件通过TCP端口443与HTTPS连接到命令控制(C&C)服务器,并在调用API函数时跳过安全标记。数据没有加密,也没有SSL握手,常见于TCP端口443流量。它收集系统名称、操作系统版本、系统正常运行时间、处理器规格和其他数据。

PlugX是一种复杂的远程访问工具(RAT),用于通过TCP端口443、80,8080和53与PlugX C&C服务器通信。PlugX操作员可以在运行时使用Netstat、Keylog、Portmap、SQL和Telnet添加、删除或更新PlugX插件。

为帮助企业检测恶意软件植入,国家网络安全和通信集成中心指出可向安全公司寻求帮助。美国CERT呼吁警惕这些恶意软件植入,并给出下列建议做法:

1.实施漏洞评估与补救计划。

2.在传输和静态时加密所有敏感数据。

3.启动内部威胁计划。

4.查看记录和警报数据。

5.对数据进行独立的安全(不合规)审核。

6.创建一个信息共享程序。

7.保护网络和系统文件,以及时进行事件响应,包括网络图、资产所有者、资产类型和最新事件计划。

作者:张程程
来源:51CTO

weixin_33786077
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PlugX变体已经悄悄更改源代码且正式更名为THOR
HBohan的博客
08-23 733
在2021年3月监测Microsoft Exchange Server攻击时,Unit 42研究人员就发现了一个PlugX变体,该变体是作为漏洞利用后远程访问工具 (RAT) 传送到其中一台受感染服务器的。 Unit 42 观察到该变体的独特之处在于它包含对其核心源代码进行了更改:将 “PLUG”替换为“THOR”。最早发现的 THOR 样本是 2019 年 8 月,它是已知最早的更名代码后的样本。在此变体中观察到了新功能,包括增强的有效载荷传送机制和滥用受信任的二进制文件。 PlugX 于 2008 年首
wuyun知识库目录
Grey的博客
01-15 7175
1269.利用Office宏及Powershell的针对性攻击样本分析2016-06-24 1268.SQL注入关联分析2016-06-24 1267.Android安全开发之ZIP文件目录遍历2016-06-23 1266.search-guard 在 Elasticsearch 2.3 上的运用2016-06-23 1265.签名加密破除-burp插件在app接口fuzz中的运用201
C2的几种常见的流量特征举例总结
Fiverya的博客
11-23 838
以下为几种常见的C2流量特征
研究人员发现了具有 250 万个唯一 IP 的 PlugX 恶意软件服务器
最新发布
网络研究观
04-30 1680
研究人员发现了 PlugX 恶意软件变体的命令和控制服务器。
dll domodal运行时异常_分析DLL搜索顺序劫持的原理
weixin_39724004的博客
11-24 162
Context的智能和响应团队已经看到DLL搜索命令被滥用,作为在真实环境中进行网络入侵的一种手段。滥用DLL搜索顺序并利用这种机制来加载一个流氓DLL而不是合法的被称为DLL预加载,或者在MITRE ATT&CK框架中劫持。在这篇文章中,你将了解更多关于DLL搜索顺序的基本原理,以及合法的二进制文件如何被武器化,并介绍一个通过DLL劫持自动发现适合有效载荷执行的二进制文件的工具...
一例plugx样本的分析(AcroRd32cWP)
好好学习,天天向上
11-14 431
这个plugx样本是一个典型摆渡型窃密木马,使用分离免杀和白加黑侧加载的方式来躲避检测。解密后的payload是一个反射型的dll,有点像CS的beacon。样本中的api地址都是使用LoadLibrary和GetProcAddress来获取,给静态分析带来很大的工作量。通过U盘进行传播,远控模块比较复杂,目前C2地址已经失效了,但是对于隔离网用户来说,还是有一定的失泄密隐患。
【网络安全】PlugX变体已经悄悄更改源代码且正式更名为THOR
baidu_41678158的博客
01-03 236
在2021年3月监测Microsoft Exchange Server攻击时,Unit 42研究人员就发现了一个PlugX变体,该变体是作为漏洞利用后远程访问工具 (RAT) 传送到其中一台受感染服务器的。 Unit 42 观察到该变体的独特之处在于它包含对其核心源代码进行了更改:将 “PLUG”替换为“THOR”。最早发现的 THOR 样本是 2019 年 8 月,它是已知最早的更名代码后的样本。在此变体中观察到了新功能,包括增强的有效载荷传送机制和滥用受信任的二进制文件。PlugX 于 2008 年首次
APT样本分析 -plugx家族RAT⽊⻢
人饭子的博客
11-06 875
APT样本分析 - plugx家族RAT⽊⻢ ⼀、样本概述 样 本 从 海 莲 花 服 务 器 扒 下 来 的 ( 经 提 醒 修 改 , 原 先 错 误 归 类 为 海 莲 花 ) , wsc_proxy.exe执⾏后加载wsc.dll解密wsc.dump⽂件,得到攻击模块(dll),攻击模块注⼊⾃身到系统进程后连接远控服务器上线,接收执⾏远控功能。远控功能包括:管 理系统、⽂件、屏幕、进程、...
Pluggy源码解读----hook函数调用执行过程分析
redrose2100的博客
11-11 1145
本文详细介绍了hook函数调用执行过程分析
屡禁不止:一个敢于将自己注入到杀毒软件中的斗士
weixin_34290390的博客
09-14 687
本文讲的是屡禁不止:一个敢于将自己注入到杀毒软件中的斗士, PlugX恶意软件可以算是攻击界的老前辈了,自2012年被曝光以来,它就以各种形式被黑客利用,截至目前它还一直活跃在攻击的最前沿。关于其长盛不衰的攻击功能,已经有很多个机构对其进行了研究,比如: 1.由Circl机构发布的“TR-12-用于针对性攻击的PlugX恶意软件变体的分析”。 2.由...
TA416 APT使用新的Golang版本的PlugX恶意软件加载程序进行钓鱼攻击
systemino的博客
11-26 427
TA416 APT使用新的Golang版本的PlugX恶意软件加载程序,对从梵蒂冈到非洲的外交官等一系列受害者进行了鱼叉式网络钓鱼攻击。 TA416高级持续威胁(APT)攻击者又回来了,在经历了一个月的沉寂后,该小组被发现使用从未见过的PlugX恶意软件加载程序Golang变体发动鱼叉式网络钓鱼攻击。 TA416,也称为“Mustang Panda”或 “RedDelta”,最近在针对与梵蒂冈和中国建交的外交部以及缅甸外交部的活动中被发现,最近还发现该组织针对非洲外交部。 在对这些攻击的进一步分析..
mysql源码分析——插件Plugin架构
fpcc的专栏
10-03 1354
一、Mysql中的Plugin 在程序设计的发展过程中,插件(Plugin)形式的设计存在的时间很长了,这种源于硬件的插件接口设计,优势在于可以很从容的进行不同场景应用的切换,甚至在运行时也可以通过动态的参数配置来实现整个功能应用场景的快速适配。从Eclipse到Idea等IDE开发工具,到实际的项目开发中,只要开发经验较多的程序员一定会遇到过类似的工程实践。 插件一般是基于一定的插件协议,通过开放不同的配置文件或者配置窗口来实现软件功能的快速扩展。比如比较常用的多语言插件,可以通过配置不同的参数,使应用程
【高级持续性威胁追踪】来自Mustang Panda的攻击? 我兔又背锅了!
further_eye的博客
01-05 1631
Mustang Panda 是CrowStrike最早披露的一个APT攻击组织,该组织主要使用的后门是PlugX,CobaltStrike。因为PlugX是一个中国人开发的。所以很多安全公司发现有PlugX的攻击,就宣称这些攻击来自于中国。
世界上最著名也最危险的APT恶意软件清单
qq_45348734的博客
07-29 1211
本文尝试列举出由各国军事情报处的网络安全部门开发的最危险、最有效也是最闻名的恶意软件清单,其中有些可以说早已盛名在外,另一些可能你还没听过……然而这正是它最危险之处。 一、Regin Regin被认为是有史以来国家级最先进的恶意软件系列,由NSA开发,并与其五眼联盟合作伙伴(主要是GCHQ)共享。 在2014年被公开披露,但最早的样本可以追溯到2011年,但也有一些人怀疑Regin早在2003年...
分析DLL搜索顺序劫持的原理
systemino的博客
08-19 616
Context的智能和响应团队已经看到DLL搜索命令被滥用,作为在真实环境中进行网络入侵的一种手段。滥用DLL搜索顺序并利用这种机制来加载一个流氓DLL而不是合法的被称为DLL预加载,或者在MITRE ATT&CK框架中劫持。 在这篇文章中,你将了解更多关于DLL搜索顺序的基本原理,以及合法的二进制文件如何被武器化,并介绍一个通过DLL劫持自动发现适合有效载荷执行的二进制文件的工具。 关于动态链接库 动态链接库(DLL)是一个模块,它包含可以被另一个模块(应用程序或DLL)使用的函数和数据..
隐藏在 PDF 中的 APT 攻击代码
亚信安全-云安全博客
05-17 1859
作者:趋势科技 在 2012 年,我们看到了各式各样的 APT 攻击活动利用 Microsoft Word 的漏洞 – CVE-2012-0158。这是一种转变,之前最常被利用的 Word 漏洞是 CVE-2010-3333。虽然我们还是继续看到 CVE-2012-0158 被大量的使用,但我们也注意到恶名昭彰的 MiniDuke 攻击所制造的针对 Adobe Reader 漏洞
DNS 隧道通信特征与检测
weixin_50005008的博客
03-30 1248
一、DNS 隧道技术解析 1.1 DNS协议解析过程 DNS协议解析过程分为两种,迭代查询和递归查询。 1.1.1 迭代查询 本地域名服务器向根域名服务器发送请求报文,根域名服务器要么给出ip地址要么告诉本地域名服务器下一步应该去查询另一个域名服务器(假设这个域名服务器为A)。本地域名服务器会向A域名服务器发送...
解读美国国会关于OPM数据泄露事件的调查报告
weixin_34014277的博客
07-03 458
2015年7月,美国联邦人事管理局(OPM)公开承认曾遭到两次黑客入侵攻击,攻击造成现任和退休联邦雇员超过2210万相关个人信息和560万指纹数据遭到泄露。泄露内容包括详细个人信息,如社会安全码、姓名、出生年月、居住地址、教育工作经历、家庭成员和个人财务信息等。美官员声称,这是美国政府历史上最大的数据泄露案件之一。美国前高级反间谍官员布伦纳(Joel B...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值