摘要: 前言 蔓灵花(Bitter)是一个被广泛认为来自印度的APT组织,该组织长期针对我国及巴基斯坦的政府、军工、电力、核等部门发动网络攻击,窃取敏感数据,具有较强的政治背景。本次分享一个蔓灵花组织针对巴基斯坦“航空领域”的攻击活动样本。该样本使用名为“PAC Advisory Committee Rep 阅读全文
posted @ 2022-01-07 14:06 SunsetR 阅读(30) 评论(0) 推荐(0) 编辑
摘要: 前言 Patchwork(白象、摩诃草、APT-C-09、Dropping Elephant)是一个疑似具有印度国家背景的APT组织,该组织长期针对中国、巴基斯坦等南亚地区国家进行网络攻击窃密活动。本次捕获样本以“巴基斯坦国防官员住房登记”为诱饵,释放“BADNEWS”后门程序进行攻击窃密活动。 样 阅读全文
posted @ 2021-12-20 14:36 SunsetR 阅读(18) 评论(0) 推荐(0) 编辑
摘要: 前言 Magniber是一个首次出现于2017年底的勒索软件家族,该勒索软件的早期版本主要针对韩语用户实行勒索,并且通过 Magnitude 漏洞利用工具包进行分发投送。由于Magnitude Exploit Kit (EK) 运营商在最初的活动中使用了Cerber 勒索软件,因此研究人员在为其命名 阅读全文
posted @ 2021-11-21 16:12 SunsetR 阅读(127) 评论(0) 推荐(0) 编辑
摘要: 前言 APT-C-41(又被称为蓝色魔眼、Promethium、StrongPity),该APT组织最早的攻击活动可以追溯到2012年。该组织主要针对意大利、土耳其、比利时、叙利亚、欧洲等地区和国家进行攻击活动。本次捕获的样本是该组织常用的一个通用组件,主要功能是通过HTTPS协议回传数据(C盘序列 阅读全文
posted @ 2021-08-19 20:11 SunsetR 阅读(36) 评论(1) 推荐(0) 编辑
摘要: 前言 HWP(Hangul Word Processor)文件是韩国主流文字处理软件Hangul Office(한글)专用的文档格式,Hangul 是一款由韩软公司(Hansoft)开发,在韩国人人皆知,人人必备的一款Office软件。 恶意的 HWP 文档通常会使用以下两类利用方式:1、宏代码2、 阅读全文
posted @ 2021-08-16 19:09 SunsetR 阅读(203) 评论(0) 推荐(0) 编辑
摘要: 前言 CVE-2017-8570是一个逻辑型漏洞,该漏洞利用复合Moniker绕过了CVE-2017-0199的更新补丁,可以在Office文档中执行任意SCT(Windows Script Component)脚本代码。 //受影响版本: Microsoft Office 2007 Service 阅读全文
posted @ 2021-08-12 11:37 SunsetR 阅读(133) 评论(0) 推荐(0) 编辑
该文被密码保护。 阅读全文
posted @ 2021-07-02 21:03 SunsetR 阅读(68) 评论(1) 推荐(0) 编辑
摘要: 背景 Hades一个充满神秘色彩的APT组织,该组织因为2017年12月22日针对韩国平昌冬奥会的攻击活动被首次发现,后来卡巴斯基将该次事件的攻击组织命名为Hades。但是该攻击组织的归属问题却一直未有明确定论。一方面由于该组织在攻击事件中使用的破坏性恶意代码(Olympic Destroyer)与 阅读全文
posted @ 2021-06-26 15:22 SunsetR 阅读(127) 评论(0) 推荐(0) 编辑
摘要: 前言 样本来源Twitter,之前的文章已经完整分析过一个类似的DLL样本,这次做个简单记录。 样本分析 样本信息如下: DLL文件共有40个导出函数: 导出函数内容基本一致,恶意代码都在DllMain函数中实现: 执行后首先获取当前模块基址并解析PE文件: 然后通过Hook IAT(导入地址表)地 阅读全文
posted @ 2021-06-23 11:18 SunsetR 阅读(160) 评论(0) 推荐(0) 编辑
摘要: 前言 一个用于从SideWinder APT组织常用的hat文件中解密C2链接地址的Python脚本,示例代码对一些老的hat文件效果比较好,新的样本可能需要根据实际情况修改下,最初是用于对VT上命中的大量样本进行批量提取C2地址用的😂 示例代码 # -*- coding: utf-8 impor 阅读全文
posted @ 2021-03-18 18:20 SunsetR 阅读(62) 评论(0) 推荐(0) 编辑
摘要: 前言 一个肚脑虫(Donot)APT组织的下载器样本,样本中的一些关键字符串数据需要使用指定函数进行动态解密。所以正好借此机会记录下怎么使用IDA Python脚本来解密字符串数据。使用IDA Python脚本自动化解密字符串数据对逆向分析人员来说应该是一个比较常用的功能。 myDecode为解密函 阅读全文
posted @ 2021-01-20 20:05 SunsetR 阅读(779) 评论(0) 推荐(2) 编辑
摘要: 前言 在OD中可以设置条件断点,通过表达式对字符串数据进行比较,比如在CreateFile打开某个特定文件的时候让调试器中断。但是在x32dbg、x64dbg中因为表达式只支持整数,不支持字符串和其它数据,所以不能像OD设置条件断点一样来比较两个字符串是否相等。x64dbg 设置条件断点,只能用取内 阅读全文
posted @ 2021-01-07 21:32 SunsetR 阅读(1579) 评论(2) 推荐(2) 编辑
摘要: 前言 Python提供了“base64”模块用于编码、解码Base64数据。但是并不是所有的Base64数据都会使用默认的字符表进行编码,所以这里对Python下实现自定义编码字符表解密Base64数据做一个简要记录。(关于Base64内部实现等相关内容可以参考这篇文章) Python2.7 1 # 阅读全文
posted @ 2021-01-05 23:45 SunsetR 阅读(620) 评论(0) 推荐(3) 编辑
摘要: 前言 Python 从1.5版本开始使用re模块来处理正则表达式。我们可以使用“re模块”或“re.compile方法”来创建正则表达式对象(re.RegexObject),然后通过调用相应方法来处理字符数据。(关于正则表达式语法的相关内容,可以参考这篇文章,本文不再赘述) 1 # 使用re模块直接 阅读全文
posted @ 2021-01-05 00:00 SunsetR 阅读(71) 评论(0) 推荐(2) 编辑
摘要: 基础信息 名称:NDC Participants.docx类型:.docMD5:df020e81b7ca32868a8ac1f5eddd086f描述:通过远程模板注入技术加载含有CVE-2017-11882漏洞的RTF文档,执行shellcode 释放执行使用“DotNetToJScript”生成的 阅读全文
posted @ 2020-11-08 22:00 SunsetR 阅读(301) 评论(0) 推荐(2) 编辑