某APT组织利用AVAST杀软的白利用针对越南司法部投放恶意文档
在推特上刷到这条推文
推文中的博客链接提到这是针对越南司法部的APT攻击,并提供了样本文件Hash
rtf样本文件sha1:
41f0757ca4367f22b0aece325208799135c96ebe1dcafcd752d3f3c8dd4a5ccf
该样本文件运行后会释放两个文件到用户temp目录:
C:\Users\admin\AppData\Local\Temp\wsc.dll
4e88f8a3c3be45e0a59a8868f2b2ace51754fcdbfa9ab618e3d9d0e17831990f
和
C:\Users\admin\AppData\Local\Temp\wsc_proxy.exe
1948bb0df11f768d6dd30ae7ecec5550db7c817d09cb31b5e2cee9b86a4047da
其中wsc_proxy.exe
是AVAST杀毒软件的签名程序
,经分析该白程序,会调用同目录下的wsc.dll
名为_run@4
的导出函数
释放的wsc.dll
是gh0st远控客户端
,并且还会添加计划任务来达到持久化,每五分钟运行一次`。
自己在尝试构造这个白利用Demo时,发现导出函数定义不成_run@4这样的名字,后经查询资料发现,原来是调用约定的问题,使用__stdcall
就可以了
C语言编译器函数名称修饰规则
__stdcall:编译后,函数名被修饰为“_functionname@number”。
__cdecl:编译后,函数名被修饰为“_functionname”。
__fastcall:编译后,函数名给修饰为“@functionname@nmuber”。
注:“functionname”为函数名,“number”为参数字节数。
下面是测试时导出函数声明的例子
EXTERN_C __declspec(dllexport) void _stdcall run(char* commandline)
{WinExec("calc.exe",SW_SHOW);
}
运行wsc_proxy.exe时加载并调用wsc.dll的_run@4函数
某APT组织利用AVAST杀软的白利用针对越南司法部投放恶意文档相关推荐
- 利用CodeBERT,这个VS Code扩展可以自动生成Python文档字符串
点击上方"AI遇见机器学习",选择"星标"公众号 重磅干货,第一时间送达 来自:机器之心 该扩展利用可处理编程语言和自然语言的预训练模型 CodeBERT,实现 ...
- 【工具篇】利用DBExportDoc V1.0 For MySQL自动生成数据库表结构文档(转
对于DBA或开发来说,如何规范化你的数据库表结构文档是灰常之重要的一件事情.但是当你的库,你的表排山倒海滴多的时候,你就会很头疼了. 推荐一款工具DBExportDoc V1.0 For MySQL( ...
- vscode python 自动补全_利用CodeBERT,这个VS Code扩展可以自动生成Python文档字符串...
机器之心报道 编辑:魔王 该扩展利用可处理编程语言和自然语言的预训练模型 CodeBERT,实现快速生成 Python 文档字符串的功能. Visual Studio Code(简称 VS Code) ...
- 利用Office 365 定制企业合同管理平台之定制合同文档!
对于企业来说,文档库是必须配置的组件,因为非结构化的数据在企业中占据了大部分.比如说文档.音频.视频等等文件都是我们的非结构化数据,这些非结构化数据处理占用了我们的每天工作的80%的时间,因此这部分数 ...
- 朝鲜APT组织Group123利用美朝会议消息构造恶意HWP文件针对韩国发起攻击
本次攻击仍为以往追踪的Group123所发起的攻击事件,恶意文档文件名为미북 정상회담 전망 및 대비.hwp ,即美朝峰会的前景与展望,该次会议将在6月12日举行. 该文档触发漏洞后,会执行文件中包 ...
- 新披露的APT组织white company,针对巴基斯坦进行Shaheen攻击活动Lazarus组织最新活动各类安全资源...
大佬觉得有用就转发一下呗,点个关注,给点阳光 威胁情报: 一. 新披露APT组织white company,针对巴基斯坦空军发起Shaheen攻击活动 该组织由cylance公司最新披露,详细报告14 ...
- [译] APT分析报告:03.OpBlueRaven揭露APT组织Fin7/Carbanak(上)Tirion恶意软件
这是作者新开的一个专栏,主要翻译国外知名的安全厂商APT报告文章,了解它们的安全技术,学习它们溯源APT组织的方法,希望对您有所帮助.前文分享了钓鱼邮件网址混淆URL逃避检测,这篇文章将介绍APT组织 ...
- LAZARUS APT利用恶意word文档攻击MAC用户
上个月,Kaspersky研究人员发布报告称Lazarus APT组织Lazarus进军macOS平台和加密货币行业.Lazarus APT组织又称为Hidden Cobra,是来自朝鲜的APT组织, ...
- APT组织最喜欢的工具 Cobalt Strike (CS) 实战
一.Cobalt Strike 背景 Cobalt Strike 在威胁攻击者的恶意活动中的使用次数正在增加.从 2019 年到 2020 年,使用Cobalt Strike 的威胁攻击者增加了 16 ...
最新文章
- 小说站 章节内容 ajax,第17章 作业分析与异步编程原理——2019年5月14日22:00
- ​网页图表Highcharts实践教程之图表代码构成
- CVS代码库管理安装配置
- python入门之函数结构函数的参数_python3基础之函数参数类型
- mysql create很多table,SQL CREATE TABLE 语句
- shell脚本判断linux系统,并判断该系统版本号,从而关闭防火墙
- CSS 盒模型与box-sizing
- mtensor一个tensor计算库,支持cuda延迟计算
- php isinstance,Python issubclass和isinstance
- 计算机网络通信的基本原理概论,计算机网络
- SharePoint:扩展DVWP - 第34部分:使用图标形式的表单操作链接
- SQL CHECKSUM 关键字
- 联想 Newifi mini Y1 Padavan固件设置5Ghz桥接
- vnc远程控制软件官网,vnc远程控制软件官网下载,好物推荐
- 15首史上最经典摇滚柔情歌曲
- 设计模式 之 中介者
- HasS Python 温湿度检测系统及小程序实现 (一) 温湿度检测及数据上云
- oracle 按某个字段分类汇总,Oracle语句分类汇总
- 短视频软件开发新功能 观看视频时长可领取金币奖励
- 1977年失踪事件_1977年黄延秋事件,不是首次发生,古籍中的早已多次记录