![](https://img-blog.csdnimg.cn/20201014180756928.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
APT
文章平均质量分 81
Orcinus p
这个作者很懒,什么都没留下…
展开
-
CVE-2017-11882分析和白象样本分析
CVE-2017-11882是微软公布的一个远程代码执行漏洞,漏洞是由模块EQNEDT32.EXE公式编辑器引起,该模块在Office的安装过程中被默认安装,该模块以OLE技术(Object Linking and Embedding,对象链接与嵌入)将公式嵌入在Office文档内。原创 2024-05-04 20:05:45 · 711 阅读 · 0 评论 -
Lazarus远控组件NukeSped分析
打开文件成功就读取文件到dword_40B498,buffer:0040AEB0,大小0x36Eu,打开文件失败则,memset对dword_40B498地址后0x36Eu大小 区域置零,调用GetModuleFileName获取当前的运行进程路径并将其写入到Run注册表中以实现本地持久化,写入的注册表键值为msnconf。之后将IP和端口填充到前面用02分割的内存空间中,填充的02是connect参数sockaddr结构体中的sa_family。完整python代码。完整python代码。原创 2024-03-31 20:35:47 · 380 阅读 · 1 评论 -
蔓灵花组织wmRAT分析
408460函数获取上线数据包:computername,username,注册表获取的systeminfo ,GetModuleFileNameW获取的样本所在路径,通过||连接起来。之后创建两个线程,一个用来接收数据,根据指令执行命令。拼接后的上线数据,为四字节标识码+四字节数据长度+上线数据。通过case 值为0 分析,第二次recv接收数据长度。第一次recv接收四个字节的标识,一共14种情况,所以数据包的格式为 4字节标识+4字节长度+数据。之后分配数据长度+1大小的内存,并接收指令数据。原创 2024-03-26 21:30:48 · 240 阅读 · 0 评论 -
一个bitter组织下载器样本分析
该组织最早在2016由美国安全公司Forcepoint进行了披露,并且命名为“BITTER”,同年国内友商360也跟进发布了分析报告,命名为“蔓灵花”原创 2024-03-26 14:11:41 · 324 阅读 · 0 评论 -
样本投递技术
APT 组织主要以邮件作为投递载体,邮件的标题、正文和附件都可能携带恶意代码。主要的方式是附件是漏洞文档、附件是二进制可执行程序和正文中包含指向恶意网站的超链接这三种。APT攻击的载荷类型:文档类:主要是office文档、pdf文档脚本类:js脚本、vbs脚本、powershell脚本等可执行文件:一般为经过RLO处理过的可执行文件、自解压包lnk:带漏洞的(如震网漏洞)和执行powershell、cmd等命令的快捷方式网页类:html、hta等。原创 2024-03-25 20:56:31 · 649 阅读 · 0 评论