TransparentTribe APT构造最新样本剖析报告 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

TransparentTribe APT构造最新样本剖析报告

申博_安全防护 申博 74次浏览 已收录 0个评论

sunbet开户

sunbet开户是最具权威、最具影响力的新闻门户网站。sunbet开户把握全市最新最全面的新闻资源,是重点新闻门户网站之一。汇集滨州新闻要闻、便民生活服务、问政通道领域的服务功能,记录变迁与发展进程,为众多市民提供优质的社会保障便民服务。sunbet开户在同一互联网平台实现多领域的互联互通,实现高效的媒体融合效果。

,

TransparentTribe APT构造,又称ProjectM、C-Major,是一个来自巴基斯坦的APT进击构造,重要经由过程鱼叉式垂纶邮件对特定国度政府、军事目的提议进击,该构造活动最早能够追溯到2012年,并于2016年被proofpoint初次表露,此前深佩服平安团队首宣布过一篇《来自TransparentTribe APT构造的窃密》的报告,近期又猎取到一例TransparentTribe APT构造的最新变种样本,此样本的钓饵文档为日历型电子表格,经由过程实行表格中宏代码开释歹意顺序,盗取受害者主机的敏感信息。样本实行团体流程图:

 

剖析钓饵文档文件

1.翻开钓饵表格文档。

 

2.文档内里包括歹意的宏代码,实行宏代码,表格文档以下:

 

歹意宏代码会开释歹意顺序到响应的目次并实行,历程信息以下所示:

 

开释的歹意顺序目次,以下所示:

 

3.表格中包括的歹意宏代码,以下所示:

动态调试宏代码,首先会解密出响应的歹意文件途径目次字符串,然后读取窗口中的数据写入生成的歹意文件中,以下所示:

窗体的数据以下所示:

 

解压响应的数据压缩包文件,并挪用生成的歹意文件。

 

解压drivertoolkit.zip文件。

 

剖析drivertoolkit.tmp文件

1.推断体系是不是存在以下历程,假如存在则退出,以下所示:

【实用指南】最全Linux应急响应技巧,看这一篇就够了

概述 Linux环境下处理应急响应事件往往会更加的棘手,因为相比于Windows,Linux没有像Autorun、procexp这样的应急响应利器,也没有统一的应急响应处理流程。所以,这篇文章将会对Linux环境下的应急响应流程进行讲解,并且提供每一个环节中所用到的shell命令,以帮助大家快速、系统化地处理Linux环境下的病毒。 处理Linux应急响应主要分为这4个环节: 识别现象-> 清除病毒-> 闭

 

TransparentTribe APT构造最新样本剖析报告

检测的历程列表:python.exe、fiddler.exe、virtualBox.exe、VBoxService.exe、bitcoin-qt.exe、dotPeek.exe、dotPeek64.exe、jetbrains.exe、vmware.exe

 

2.设置体系自启动项快捷方式,以下所示:

TransparentTribe APT构造最新样本剖析报告

快捷方式用于启动C:\ProgramData\twainResolver\twainResolver.scr顺序,以下所示:

 

3.读取文件中的数据,生成歹意文件C:\ProgramData\twainResolver\twainResolver.scr,以下所示:

 

读取的数据为PE文件。

 

TransparentTribe APT构造最新样本剖析报告

4.末了启动歹意顺序C:\ProgramData\twainResolver\twainResolver.scr。

 

剖析twainResolver.scr文件

1.网络主机上的历程信息,上传到长途服务器,以下所示:

捕获到以下的流量数据包:

 

TransparentTribe APT构造最新样本剖析报告

传输的数据以下:

 

2.因为长途服务器失效了,上传数据失利,没法返回响应的数据。

 

TransparentTribe APT构造最新样本剖析报告

3.因为返回的数据为空,所以没法从长途服器下载响应的歹意顺序,顺序直接退出,以下所示:

 

猜想会下载一个RAT远控类顺序,但已失效,没法猎取到该RAT顺序,举行下一步的剖析,大多数的APT进击构造重要目的是为了窃密,在实行的末了平常会开释一个RAT类的歹意顺序控制受害者机械,并从受害者机械上猎取有价值的信息。

IOC

MD5:

原文地点: https://www.4hou.com/web/21239.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明TransparentTribe APT构造最新样本剖析报告
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址