威胁情报

一、FIN7针对餐饮业继续攻击

仍然是典型的FIN7手段，恶意宏，通过VBScript执行JavaScript后门

本次样本中宏打开如下，且宏有密码保护，密码为“goodmorning”

最后运行的JavaScript具有后门功能，会直接与C2通信（bing-cdn.com）,还会把主机信息传回C2

下面是同源找的另一段，还具有反虚拟机的功能呢

通过vbcontrol文件中的明文字符串可以加yara规则，进而进一步找同源样本

相关链接：

http://blog.morphisec.com/fin7-not-finished-morphisec-spots-new-campaign

二、

turla通过png dropper回归

png dropper，在2017年被俄罗斯APT组织turla用于分发snake远控（此前png dropper的分析文章见此

https://www.carbonblack.com/2017/08/18/threat-analysis-carbon-black-threat-research-dissects-png-dropper/  ）

近期其分发了一个新的payload，被命名为RegRunnerSvc

首先是加载方式

png dropper的目的是加载和运行隐藏在许多PNG文件中的PE文件，如下为资源文件

dropper会枚举每个PNG资源并提取像素数据，然后将它们拼接在一起，最后手动加载PE文件。该PE则为RegRunnerSvc，该pe的目的是从注册表中提取加密的payload，并将其加载到内存中，然后运行它。这中间解密的步骤比较繁琐

提取png的PE程序如下，之后变种估计也可以改改继续用。

https://github.com/nccgroup/Cyber-Defence/tree/master/Scripts/turla_image_decoder

原文中还有找这类png dropper和png图像的yara规则，有需要自取

相关链接:

https://www.nccgroup.trust/us/about-us/newsroom-and-events/blog/2018/november/turla-png-dropper-is-back/

三、双尾蝎组织新情报，通过新闻pdf传播

02c27cbb38d275339f723589192b9bab2d6252c3 a38b7446dc91019be029776dae50e54c1ae016f7 71f9124084c4f5527341a5e770f0792367a3484e

C&C domain: my-files[.]host

安全资源

#安全大会#  POC 2018 大会议题资料公开：

https://sec.today/events/932399cb-22b0-4e9b-8795-a4f38886110a/

POC 大会历届会议议题资料整理：

https://sec.today/search/?q=poc&type=Events&order_by=datetime

yuange 发了一篇文章 安全编程模型 2000年研究IIS，总结原来的漏洞，归纳、总结、创新，建立自己的模型，对安全的理解，然后再指导漏洞研究。很快就取得很好的效果。

这就是我这几年一直在提的安全研究也要学数学的归纳、总结、创新的路子，以及我创新的归纳出对安全的理解：安全是一个条件语句。最后对于安全编程就是模块一定要严格按编程接口要求实现功能，否则就是bug。    “安全是一个条件语句”，这个总结加上以前的一些理解，出来了后来的DVE利用。安全编程的接口模型，指导找出了很多漏洞。这个文件名fuzz测试就暴露了很多问题，半个汉字，“.”、“ ”字符的截断、设备名等。

相关链接：

https://weibo.com/ttarticle/p/show?id=2309404309504354308682&is_all=1&sudaref=t.co&display=0&retcode=6102

黑色星期五最后一天的价格，各位速进