您当前的位置:网站首页>翡翠台,百万新娘之爱无悔-科技图鉴|如果你的面试官是机器人

翡翠台,百万新娘之爱无悔-科技图鉴|如果你的面试官是机器人

2019-10-03 10:02:21 投稿作者:admin 围观人数:292 评论人数:0次

Stealth Falcon黑客安排,自2012年以来一向活泼,其主要方针是中东的政治活动家和记者。citizen lab安排在2016年宣布了一份针对某一网络进犯的剖析陈述。2019年1月,路透社宣布了一份关于“Raven方案”的调查陈述,该方案方针与Stealth Falcon相同。依据这两份关于同一方针翡翠台,百万新娘之爱无悔-科技图鉴|假如你的面试官是机器人和进犯的陈述能够看出Stealth Falcon和Raven方案实际上是同一个集体。

citizen lab陈述中记载的进犯中要害组件是一个依据powershell的后门,该后门经过一个包含在歹意电子邮件中的附件文档进行传达。

近期发现了一个曾经未陈述的二进制后门,咱们命名为win32/stealthfacon。在本文中,咱们将剖析介绍新二进制后门和powershell脚本之间的类似之处。这些类似之处证明了win32/stealthfelcon归于Stealth Falcon黑客安排。

Win32/StealthFalcon后门是在2015年创立的,答应进犯者长途操控受损的计算机。在阿联酋、沙特、泰国和荷兰发现了该后门。

C&C通讯

在与C&C服务器的通讯中,Win32/StealthFalcon运用规范的Windows组件Background Intelligent Transfer Service(BITS)。BITS的规划意图是在不耗费很多网络带宽的情况下传输很多数据,然后不影响其他应用程序的带宽需求。它一般用于更新程序、信使和其他规划为在后台运转的应用程序。

与传统的经过api函数的通讯比较,BITS机制是经过com接宋健凯口,因而安全产品很难检测到。传输因网络中止、用户刊出或体系重新发动等原因中止后会主动康复。此外,因为BITS依据可用带宽调整文件传输速率,因而不会让用户发生置疑。

win32/stealthfalcon能够在两个c&c服务器之间切换通讯,这两个服务器的地址与其他装备值一同存储在注册表项中,而且能够经过后门指令进行更新。假如后门无法联络到C&C服务器,后门会在屡次失利后将自己从受损体系再生人陈明道怎么造假中移除。

后门功用

win32/stealthfalcon是一个dll文件,在履行之翡翠台,百万新娘之爱无悔-科技图鉴|假如你的面试官是机器人后,它将自己设置为用户登录时运转。它只支撑底子的指令。

后门程序的要害功用,下载和履行文件,是经过定时查看履行歹意软件的目录中名为“win*.dll”或“std*.dll”的库并加载这些库来完成的。

此外,win32/stealthfalcon经过在临时文件夹中存储一个贵州交警带有硬编码前缀的加密副原本搜集文件并进行过滤。后门会定时查看这些文件,并主动快喵过滤它们。在文件成功地被过滤后,歹意软件删去一切日志文件和搜集的文件,在删去文件之前,它用随机数据重写它们,以避免被剖析和康复删去的数据。

装备值存储在hkey_current_user\software\microsoft\windows\currentversion\网易加速器shell extensions注册表项中。一切值的前缀都是歹意软件的文件名(不带扩展名)。

在任何歹意有用载荷发动之前会有300多个引证,但底子不运用它们,它总是回来并持续履行有用薄翅蝉载荷,而且没有条件查看。

与Steal缪斯th Falcon的联络

Citizen Lab剖析中描绘的win32/StealthFalcon和依据powershell的后门同享同一个C&C服务器:在Citizen Lab剖析的后门中,地址windowsearchcache[.]com被evil用作“第二阶段C2服务器域”,在一个版别的win32/Stealt中也是如此。

这两个后门在代码上都显示出明显的类似性——虽然它们是用不同的语翡翠台,百万新娘之爱无悔-科技图鉴|假如你的面试官是机器人言编写的,但底层逻辑是相同的。两者都运用硬编码标识符(很可能是活动ID/方针ID)。在这两种情况下,来自方针主机的一切网络通讯都以标识符为前缀,并运用硬编码密钥用rc4加密。

关于c&c服务器通讯都运用https,并为衔接设置特定的标志以疏忽服务器证书。

定论

咱们发现并剖析了一个后门,它采用了一种smell稀有的C&C通讯技能,运用Windows BITS以及一些先进的技能来阻止检测和剖析,代码和根底结构与Stealth Falcon从前已知的歹意软件类似。以上可知,win32/StealthFalcon后门归归于该黑客安排。

IoCs

SHA-1

31B54AEBDAF5FBC73A66A**1CCB35943CC9B7F72

50973A3FC57D70C7911F7A952356188B9939E56B

244EB62B9AC30934098CA4204447440D6F**E259

5C8F83C**FF57E7C67925DF4D9DAAB万年李金生E5D0CC07E2

马的成语

31B翡翠台,百万新娘之爱无悔-科技图鉴|假如你的面试官是机器人54AEBDAF5FBC73A66A**1CCB35943CC9B7F72wo

5沈琼霍小媛0973A3FC57D70C7911F7A952356188B9939E56B

244EB62B9AC30934098CA4204447440D6F**E259

5C8F83C**FF57E7C67925DF4D9DAABE5D0CC云草稿07E2

258A4A9D139823F55D7B9DA1825D101107FBF88634A870DE9800580DAD556BA3

2519DB0FFEC604D6C9A655CF56B98EDCE10405DE36810BC3DCF125CDE30BA5A2

3EDB6EA77CD0987668B360365D5F39FDCF6B366D0DEAC9ECE5ADC6FFD20227F6

8DFFDE77A39F3AF46D0CE0B84A189DB25A2A0FEFD71A0CD0054D8E0D60AB08DE

258A4A9D139823F55D7B9DA1825D101107FBF88634A870DE9800580DAD556BA3

2519DB0FFEC604D6C9A655CF56B98EDCE10405DE36810B刘亦菲微博C3DCF125CDE30BA5A2

3EDB6EA77CD0987668B360365D5F39FDCF6B366D0DEAC9ECE5ADC6FFD20227F6

8DFFDE77A39F3AF46D0CE0B84A189DB25A2A0FEFD71A0CD0054D8E0D60AB08DE

ImageIndexer.dll

WindowsBackup.dll

WindowsSearchCache.dll

JavaU性感照serUpdater.dll

ImageIndexer.dll

WindowsBackup.dll

WindowsSearchCache.dll

JavaUserUpdater.dll

%TEMP%\dsc*

%TEMP%\sld*

傻挂

%TEMP%\plx*

%TEMP%\dsc*

%TEMP%\sld*

%TEMP%\plx*

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extens翡翠台,百万新娘之爱无悔-科技图鉴|假如你的面试官是机器人ions

X-MRULi徐轶美st

X-MRUData

X-FontDisposition

X-IconDisposition

X-IconPosition

X-PopupPosition

X余超颖 is the malware’s filename (without extension)

X-MRUList

X-MRUData

X-FontDisposition

X-IconDisposition

X-IconPosition

X-PopupPosition

X is the malware’s fi翡翠台,百万新娘之爱无悔-科技图鉴|假如你的面试官是机器人lename (without extension)

*参阅来历:welivesecurity,由Kriston编译,转载请注明来自FreeBuf.COM

the end
科技图鉴|如果你的面试官是机器人