在推特上刷到这条推文

推文中的博客链接提到这是针对越南司法部的APT攻击,并提供了样本文件Hash

rtf样本文件sha1:
41f0757ca4367f22b0aece325208799135c96ebe1dcafcd752d3f3c8dd4a5ccf

该样本文件运行后会释放两个文件到用户temp目录:

C:\Users\admin\AppData\Local\Temp\wsc.dll
4e88f8a3c3be45e0a59a8868f2b2ace51754fcdbfa9ab618e3d9d0e17831990f

C:\Users\admin\AppData\Local\Temp\wsc_proxy.exe
1948bb0df11f768d6dd30ae7ecec5550db7c817d09cb31b5e2cee9b86a4047da


其中wsc_proxy.exeAVAST杀毒软件的签名程序,经分析该白程序,会调用同目录下的wsc.dll名为_run@4的导出函数

释放的wsc.dllgh0st远控客户端,并且还会添加计划任务来达到持久化,每五分钟运行一次`。

自己在尝试构造这个白利用Demo时,发现导出函数定义不成_run@4这样的名字,后经查询资料发现,原来是调用约定的问题,使用__stdcall就可以了

C语言编译器函数名称修饰规则
__stdcall:编译后,函数名被修饰为“_functionname@number”。
__cdecl:编译后,函数名被修饰为“_functionname”。
__fastcall:编译后,函数名给修饰为“@functionname@nmuber”。
注:“functionname”为函数名,“number”为参数字节数。

下面是测试时导出函数声明的例子

EXTERN_C __declspec(dllexport) void _stdcall run(char* commandline)
{WinExec("calc.exe",SW_SHOW);
}

运行wsc_proxy.exe时加载并调用wsc.dll的_run@4函数

某APT组织利用AVAST杀软的白利用针对越南司法部投放恶意文档相关推荐

  1. 利用CodeBERT,这个VS Code扩展可以自动生成Python文档字符串

    点击上方"AI遇见机器学习",选择"星标"公众号 重磅干货,第一时间送达 来自:机器之心 该扩展利用可处理编程语言和自然语言的预训练模型 CodeBERT,实现 ...

  2. 【工具篇】利用DBExportDoc V1.0 For MySQL自动生成数据库表结构文档(转

    对于DBA或开发来说,如何规范化你的数据库表结构文档是灰常之重要的一件事情.但是当你的库,你的表排山倒海滴多的时候,你就会很头疼了. 推荐一款工具DBExportDoc V1.0 For MySQL( ...

  3. vscode python 自动补全_利用CodeBERT,这个VS Code扩展可以自动生成Python文档字符串...

    机器之心报道 编辑:魔王 该扩展利用可处理编程语言和自然语言的预训练模型 CodeBERT,实现快速生成 Python 文档字符串的功能. Visual Studio Code(简称 VS Code) ...

  4. 利用Office 365 定制企业合同管理平台之定制合同文档!

    对于企业来说,文档库是必须配置的组件,因为非结构化的数据在企业中占据了大部分.比如说文档.音频.视频等等文件都是我们的非结构化数据,这些非结构化数据处理占用了我们的每天工作的80%的时间,因此这部分数 ...

  5. 朝鲜APT组织Group123利用美朝会议消息构造恶意HWP文件针对韩国发起攻击

    本次攻击仍为以往追踪的Group123所发起的攻击事件,恶意文档文件名为미북 정상회담 전망 및 대비.hwp ,即美朝峰会的前景与展望,该次会议将在6月12日举行. 该文档触发漏洞后,会执行文件中包 ...

  6. 新披露的APT组织white company,针对巴基斯坦进行Shaheen攻击活动Lazarus组织最新活动各类安全资源...

    大佬觉得有用就转发一下呗,点个关注,给点阳光 威胁情报: 一. 新披露APT组织white company,针对巴基斯坦空军发起Shaheen攻击活动 该组织由cylance公司最新披露,详细报告14 ...

  7. [译] APT分析报告:03.OpBlueRaven揭露APT组织Fin7/Carbanak(上)Tirion恶意软件

    这是作者新开的一个专栏,主要翻译国外知名的安全厂商APT报告文章,了解它们的安全技术,学习它们溯源APT组织的方法,希望对您有所帮助.前文分享了钓鱼邮件网址混淆URL逃避检测,这篇文章将介绍APT组织 ...

  8. LAZARUS APT利用恶意word文档攻击MAC用户

    上个月,Kaspersky研究人员发布报告称Lazarus APT组织Lazarus进军macOS平台和加密货币行业.Lazarus APT组织又称为Hidden Cobra,是来自朝鲜的APT组织, ...

  9. APT组织最喜欢的工具 Cobalt Strike (CS) 实战

    一.Cobalt Strike 背景 Cobalt Strike 在威胁攻击者的恶意活动中的使用次数正在增加.从 2019 年到 2020 年,使用Cobalt Strike 的威胁攻击者增加了 16 ...

最新文章

  1. 小说站 章节内容 ajax,第17章 作业分析与异步编程原理——2019年5月14日22:00
  2. ​网页图表Highcharts实践教程之图表代码构成
  3. CVS代码库管理安装配置
  4. python入门之函数结构函数的参数_python3基础之函数参数类型
  5. mysql create很多table,SQL CREATE TABLE 语句
  6. shell脚本判断linux系统,并判断该系统版本号,从而关闭防火墙
  7. CSS 盒模型与box-sizing
  8. mtensor一个tensor计算库,支持cuda延迟计算
  9. php isinstance,Python issubclass和isinstance
  10. 计算机网络通信的基本原理概论,计算机网络
  11. SharePoint:扩展DVWP - 第34部分:使用图标形式的表单操作链接
  12. SQL CHECKSUM 关键字
  13. 联想 Newifi mini Y1 Padavan固件设置5Ghz桥接
  14. vnc远程控制软件官网,vnc远程控制软件官网下载,好物推荐
  15. 15首史上最经典摇滚柔情歌曲
  16. 设计模式 之 中介者
  17. HasS Python 温湿度检测系统及小程序实现 (一) 温湿度检测及数据上云
  18. oracle 按某个字段分类汇总,Oracle语句分类汇总
  19. 短视频软件开发新功能  观看视频时长可领取金币奖励
  20. 1977年失踪事件_1977年黄延秋事件,不是首次发生,古籍中的早已多次记录

热门文章

  1. 结点(Node)--------一生二,二生三,三生万物
  2. C++写笨鸟先飞(较难)
  3. 关于Android 5.1 LatinIME的分析
  4. 现阶段大数据算法的困境是什么?
  5. PAT解题思路传送门(柳神)
  6. python自动登录百度_python实现自动登录百度账号功能代码
  7. 【元胞自动机】基于matlab元胞自动机模拟SEIR传播模型和采取隔离措施的SEIR模型【含Matlab源码 2181期】
  8. latte到底是个什么东东?
  9. 7-3 大笨钟 (10 分)
  10. python 不以科学计数法输出