日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
警惕!APT35組織正利用Log4j漏洞分發(fā)新型模塊化后門(mén)

APT35是疑似伊朗國(guó)家支持的APT組織,又名 Charming Kitten、TA453 或 Phosphorus。1月11日,研究人員披露,該組織正利用Log4Shell漏洞,釋放新的模塊化PowerShell后門(mén)。

靜安網(wǎng)站制作公司哪家好,找創(chuàng)新互聯(lián)建站!從網(wǎng)頁(yè)設(shè)計(jì)、網(wǎng)站建設(shè)、微信開(kāi)發(fā)、APP開(kāi)發(fā)、響應(yīng)式網(wǎng)站設(shè)計(jì)等網(wǎng)站項(xiàng)目制作,到程序開(kāi)發(fā),運(yùn)營(yíng)維護(hù)。創(chuàng)新互聯(lián)建站于2013年創(chuàng)立到現(xiàn)在10年的時(shí)間,我們擁有了豐富的建站經(jīng)驗(yàn)和運(yùn)維經(jīng)驗(yàn),來(lái)保證我們的工作的順利進(jìn)行。專(zhuān)注于網(wǎng)站建設(shè)就選創(chuàng)新互聯(lián)建站

簡(jiǎn)況

APT35組織在目標(biāo)應(yīng)用安全更新之前率先利用該漏洞掃描易受攻擊的系統(tǒng)。模塊化有效載荷名為CharmPower,可以處理 C2 通信、執(zhí)行系統(tǒng)枚舉,并最終接收、解密和加載其他模塊。APT35組織活動(dòng)的感染鏈如下圖:

該核心模塊可以執(zhí)行以下主要功能:

  • 驗(yàn)證網(wǎng)絡(luò)連接:執(zhí)行后,腳本通過(guò)使用參數(shù) hi=hi 向 Google.com 發(fā)出 HTTP POST 請(qǐng)求來(lái)等待活動(dòng)的網(wǎng)絡(luò)連接。
  • 基本系統(tǒng)枚舉:該腳本收集 Windows 操作系統(tǒng)版本、計(jì)算機(jī)名稱以及 $APPDATA 路徑中的文件 Ni.txt 的內(nèi)容;該文件可能由不同模塊創(chuàng)建和填充。
  • 檢索 C&C 域:惡意軟件解碼從硬編碼 URL hxxps://s3[.]amazonaws[.]com/doclibrarysales/3 檢索的 C&C 域。
  • 接收、解密、執(zhí)行后續(xù)模塊。

核心模塊不斷向 C2 發(fā)送 HTTP POST 請(qǐng)求,C&C 服務(wù)器可以通過(guò)以下兩種方式之一進(jìn)行響應(yīng):

  • NoComm:無(wú)命令,腳本繼續(xù)發(fā)送 POST 請(qǐng)求。
  • Base64 字符串:要執(zhí)行的模塊。該模塊使用簡(jiǎn)單的替換密碼進(jìn)行加密,并以 base64 編碼。

Base64 字符串啟動(dòng)下載額外的 PowerShell 或 C# 模塊?!癈harmPower”負(fù)責(zé)解密和加載這些模塊,然后這些模塊與 C2 建立獨(dú)立的通信通道。要發(fā)送到受感染端點(diǎn)的模塊列表是根據(jù) CharmPower 在偵察階段檢索到的基本系統(tǒng)數(shù)據(jù)自動(dòng)生成的。

C2發(fā)送的附加模塊如下:

  • 應(yīng)用程序:枚舉卸載注冊(cè)表值并使用“wmic”命令確定受感染系統(tǒng)上安裝了哪些應(yīng)用程序。
  • 屏幕截圖:根據(jù)指定的頻率捕獲屏幕截圖,并使用硬編碼憑據(jù)將它們上傳到 FTP 服務(wù)器。
  • 進(jìn)程:使用 tasklist 命令獲取正在運(yùn)行的進(jìn)程。
  • 系統(tǒng)信息:執(zhí)行“systeminfo”命令以收集系統(tǒng)信息。
  • 命令執(zhí)行:具有 Invoke-Expression、cmd 和 PowerShell 選項(xiàng)的遠(yuǎn)程命令執(zhí)行模塊。
  • 清理:刪除受感染系統(tǒng)中留下的所有痕跡,例如注冊(cè)表和啟動(dòng)文件夾條目、文件和進(jìn)程。

歸因

“CharmPower”后門(mén)與 APT35 過(guò)去使用的 Android 間諜軟件之間具有相似之處,包括實(shí)現(xiàn)相同的日志記錄功能并使用相同的格式和語(yǔ)法。此外,在兩個(gè)樣本中都可以看到 C2 通信中的“Stack=Overflow”參數(shù),這是僅在 APT35 工具中觀察到的獨(dú)特參數(shù)。研究人員基于這些代碼的相似性和基礎(chǔ)設(shè)施重疊將活動(dòng)歸因于 APT35。


分享標(biāo)題:警惕!APT35組織正利用Log4j漏洞分發(fā)新型模塊化后門(mén)
網(wǎng)站地址:http://www.dlmjj.cn/article/djiciog.html