APT28剖析之DDE样本剖析 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

APT28剖析之DDE样本剖析

申博_安全工具 申博 248次浏览 未收录 0个评论

最近在研讨APT进击,我挑选研讨APT的要领经由过程一个APT构造入手,我挑选的是APT28这个构造,APT28构造是一个与俄罗斯当局构造的高等进击团伙,我将剖析该构造的进击样本、进击要领、进击目标来研讨一个APT构造。本次剖析的是该团伙应用的DDE破绽,一切材料均来自互联网
本次的剖析的样正本此mcafee文章的样本,未说起详细共的进击者,样本的内容与纽约恐怖袭击有关。APT28能够或许应用事先的热门事宜。敏捷接纳新手艺提议进击。
DDE(动态数据交换),被界说为许可应用顺序同享的一组音讯和原则。,应用顺序能够应用DDE协定举行一次数据传输,以便应用顺序在新数据可用时将更新发送给相互,此次剖析的两个样本,一个未殽杂一个殽杂,也比较能反应出进击构造在进击手段上的革新
此次剖析的样本一共以下两个:
文件名称 IsisAttackInNewYork.docx
SHA-1 1C6C700CEEBFBE799E115582665105CAA03C5C9E
建立时候 2017:10:27T 22:23:00Z
文件巨细 53.1 KB (54,435 字节)

文件名称 SabreGuardian.docx
SHA-256 68C2809560C7623D2307D8797691ABF3EAFE319A
建立时候 2017:10:27 22:23:00Z
文件巨细 49.8 KB (51,046 字节)
样本剖析
起首剖析SabreGuardian.docx,双击以后发明会涌现提醒更新域
在点击是以后,会涌现别的一个提醒,我们能够看到涌现以下,涌现了启动应用顺序MSWord顺序,这里初始一看并没有什么问题,究竟结果启动的是WORD自身本身。
我们在一切有关字符串以后,发明了相干的DDE进击代码,在word/document.xml中,以下图所示。
我们能够看到样本应用开端的社会工程学手艺,虽然表面上是运转的MSWord.exe,然则实际上运转的是POWERSHELL历程。
“C:\Programs\Microsoft\Office\MSWord.exe\..\..\..\..\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
Powershell历程会长途下载一个文件,并用powershell执行起来。此文件用以下YARA划定规矩举行婚配能够或许婚配到
再来剖析SabreGuardian.docx,发明跟上个文件一样照样举行了肯定的社会工程学,伪装成启动MSWord.exe

然则并没有发明如上一个文件一样的字符串,然则经由过程应用上面的yara划定规矩也能婚配到详细的要挟,以下图所示。

CVE-2018-12454合约代码详细分析

一、漏洞概述 1000 Guess是一款基于以太坊的随机数竞猜游戏。 1000 Guess中的simplelottery智能合约实现的‘_addguess’函数存在安全漏洞,该漏洞源于程序使用公共可读取的变量生成随机值。攻击者可利用该漏洞一直获取奖励。 下面为CVE编号的详细内容。 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-12454 1000 Guess作为以太坊的精彩读博游戏被爆出存在存储随机数预测漏洞。此合约通过生成随机数来预测获得大奖的钱包地址。在生成随机数的过程中,该合约通过sha256计算合约中的变量与当前数据块的信息。然而根据区块链的概念,链上的信息均是公开的,所有用户均可以获得。于是攻击者可以对此进行获取并进行投机取巧的操作。在本文中我将对合约进行详细介绍,并对此合约漏洞进行复现操作。 二、合约分析 /**
* Source Code first verified at https://etherscan.io on Saturday, November 25, 2017
(UTC) */

pragma solidity ^0.4.11;
contract simplelottery {
enum State { Started, Locked }
State public state = State.Started;
struct Guess{
address addr;
//uint guess;
}
uint arraysize=1000;
uint constan

在对应的word/document.xml发明了上面的字符串,我们详细剖析下这个字符串。
经由过程剖析发明了Quote域,Quote域能够将特定的文本插进去到文档中以下图所示,QUOTE域供应某个字符的数字编码,它会将这个编码转换为对应的字符,set 用于存储Quote天生的值保存到C变量中,能够看到设置了三个变量c、d、e

APT28剖析之DDE样本剖析
末了传到DDE敕令中
上面的内容缩写为
{SET c “{QUOTE 65 65 65 65}”}
{SET d “{QUOTE 66 66 66 66}”}
{SET e “{QUOTE 67 67 67 67}”}
{DDE {REF c} {REF d} {REF e}}
等同于
{DDE “AAAA” “BBBB” “CCCC”}
来写一个小的python脚正本将上面的数字编码转化成字符串。
三段小字符串分别是以下图所示,发明跟第一个是一样的经由过程powershell下载文件在经由过程power shell运转。

 


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明APT28剖析之DDE样本剖析
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址