遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結
一.前言:
Gcow安全團隊追影小組於2019年11月份捕獲到名為SideWinder(響尾蛇)組織針對巴基斯坦的活動,介於該組織主要針對巴基斯坦和中國以及其他東南亞國家,且其於10月份時候針對中國部分國防重要行業進行類似手法的攻擊活動,為了更好了解對手的攻擊手段以及加以防範,團隊將以最近的樣本為契機來總結該組織為期一年的攻擊活動。
響尾蛇(又稱SideWinder、T-APT-04)是一個背景可能來源於印度的APT組織,該組織此前已對巴基斯坦和東南亞各國發起過多次攻擊, 該組織以竊取政府,能源,軍事,礦產等領域的機密資訊為主要目的。此次的攻擊事件以虛假郵件為誘餌,利用Office遠端程式碼執行漏洞(cve-2017-11882)或者通過遠端模板注入技術載入遠端URL上的漏洞檔案.在針對於巴基斯坦的攻擊中我們發現了Lnk檔案的載荷,其主要驅動是mshta.exe,攻擊者通過各種方式以達到偽裝的目的。
在我們的樣本捕獲中,我們發現了該組織在這一年之間的變化,其攻擊的手段越來越先進,這對我國的軍事部門當然是一個不容小覷的威脅,所以我們追影小組將帶領各位讀者來回顧該組織的攻擊手法,以及其技術的更迭。
二.樣本分析:
為了方便於各位讀者的理解,筆者畫了一張關於該組織攻擊的流程圖
如下:
在2019下半年,該組織經常使用該流程針對巴基斯坦和中國的目標進行攻擊
ADVOCATE.docx 利用遠端模板注入技術載入含有漏洞的CVE-2017-11882漏洞RTF文件,使用的這樣載入方式可以繞過防病毒閘道器,增加成功率。當成功載入main.file.rtf檔案後,釋放1.a 到Temp目錄下,觸發漏洞shellcode執行1.a,1.a是一個混淆後的Jscript指令碼檔案,再次釋放Duser.dll檔案 tmp檔案,並拷貝rekeywiz.exe到 C:\ProgramData\DnsFiles目錄下,並執行rekeywiz.exe檔案,帶起Duser.dll,Duser.dll載入tmp檔案.
1.誘餌文件
1).樣本資訊:
| 樣本MD5 | 9b1d0537d0734f1ddb53c5567f5d7ab5 |
| 樣本SHA-1 | e127a783870701cdd20a7fc750cad4dae775d362 |
| 樣本SHA-256 | f1cdd47f7a2502902d15adf3ac79c0f86348ba09f4a482ab9108ad98258edb55 |
| 樣本型別 | Office Open XML 檔案 |
| 樣本名稱 | ADVOCATE.docx |
| 檔案大小 | 9.02 KB (9232 bytes) |
2).分析
開啟ADVOCATE.docx樣本後,利用遠端模板注入技術遠端載入遠端模板: https://www.sd1-bin.net/images/2B717E98/-1/12571/4C7947EC/main.file.rtf
成功開啟後顯示,用掩飾目的文件,如下圖:
2.漏洞文件:
1)樣本資訊:
| 樣本MD5 | 3ee30a5cac2bef034767e159865683df |
| 樣本SHA-1 | c29a1fd54f9f961211e9cd987f90bd8eb0932e45 |
| 樣本SHA-256 | f08ccc040c8d8db60f30a6d1026aa6523e97c6cf52b1b30f083a830a0a65a3a9 |
| 樣本型別 | 富文字檔案 |
| 樣本名稱 | main.file.rtf |
| 檔案大小 | 1.72 MB (1804038 bytes) |
2).分析:
當main.file.rtf載入成功後,會將1.A檔案釋放到當前使用者temp資料夾下面
1.a是嵌入到rtf文件中的OLE Object,如下圖:
通過分析rtf也可以看到
預設釋放到 temp資料夾中,如下圖:
1.a檔案通過Shellcode載入起來
(1).Shellcode分析
shellcode 程式碼 如下圖:
直接在00411874 處下斷點 此處為 ret處,也就是將通過覆蓋ret返回地址,達到任意程式碼執行目的,如下圖:
可以看到esp 值已經被覆蓋為0x18f354,這個就是shellcode入口地址,如下圖:
也可以在rtf 檔案中找到shellcode,如下圖:
Shellcode通過獲取RunHTMLApplication來載入惡意js
對異或後的js程式碼進行解密,祕鑰是12
將執行js的命令列替換其原來的命令列
惡意js如下:(讀取1.a檔案的所有內容並且用eval執行)
(2).1.a分析
i.樣本資訊
| 樣本MD5 | 4513f65bdf6976e93aa31b7a37dbb8b6 |
| 樣本SHA-1 | 73ae6cd3913bcfb11d9e84770f532f2490ddef6c |
| 樣本SHA-256 | 054a029b378b8bbf5ea3f814a737e9c3b43e124995d05d7dac45a87502bf2f62 |
| 樣本型別 | Js指令碼檔案 |
| 樣本名稱 | 1.a |
| 檔案大小 | 878.91 KB (900000 bytes) |
ii.分析
通過分析,1.a是一個通過DotNetToJScript成生的Jscript檔案,並且經過混淆過,但是還原後還可以看出來如下圖:
其主要邏輯即為將內建的c# dll解密後記憶體載入其Work函式傳入三個引數
第一個引數是黑dll的資料,第二個引數是同目錄下的tmp檔案資料,第二個引數是混淆的C2地址
通過除錯解密出內建dll檔案的base64編碼
Base64解密後
刪除前面載入部分然後儲存為dll檔案
StInstaller.dll
其Work函式是其核心
1) .檢測白名單檔案是否存在,若存在則拷貝到其工作目錄下
2) 修改登錄檔新增啟動項以開機啟動,登錄檔的值為拷貝後的白名單檔案路徑
3) 釋放對應的惡意dll和tmp檔案以及配置的config檔案
4) .啟動白名單程式
通過API Monitor可以直觀看到釋放流程,如下圖:
1.拷貝c:\windows\syswow64\rekeywiz.exe到c:\ProgramData\DnsFiles\rekeywiz.exe下面.
2. 釋放 Duser.dll檔案到C:\ProgramData\DnsFiles\Duser.dll
3. 釋放 xxx.tmp 檔案到 C:\ C:\ProgramData\DnsFiles\xxx.tmp
4. 使用CreatePocess 拉起 rekeywiz.exe
(3).Duser.dll分析
i.樣本資訊
| 樣本MD5 | ff9d14b83f358a7a5be77af45a10d5a2 |
| 樣本SHA-1 | 612b239ce0ebaf6de6ee8eff1fb2fa2f3831ebd2 |
| 樣本SHA-256 | 920197f502875461186a9d9fbf5a108f7c13677bbdeae129fbc3f535ace27a6f |
| 樣本型別 | Dll(動態連結庫)檔案 |
| 樣本名稱 | Duser.dll |
| 檔案大小 | 5.50 KB (5632 bytes) |
ii.分析
Rekeywiz.exe 是一個白名單檔案,存在dll劫持特性,俗稱白加黑如下圖:
利用rekeywiz.exe 帶起Duser.dll,Duser.dll再將 ***.tmp檔案,此處用***表示隨機檔名,解密後,記憶體載入.net,使其逃避防護軟體查殺.關鍵程式碼如下圖所示:
選取.tmp檔案的前32位元組當做祕鑰,對後續的位元組進行異或解密後,使用Assembly.Load 載入到記憶體執行。
解密後,發現是一個.net後門程式,如下圖所示:
(4).SystemApp.dll分析
i.樣本資訊
| 樣本MD5 | 6162005b9ae5d4a8070bfe5f560b0912 |
| 樣本SHA-1 | b4928e4c3a8787e0461e2e78138091134c7f719a |
| 樣本SHA-256 | d8aa512b03a5fc451f9b7bc181d842936798d5facf1b20a2d91d8fdd82aa28b7 |
| 樣本型別 | Dll(動態連結庫)檔案 |
| 樣本名稱 | SystemApp.dll |
| 檔案大小 | 576.00 KB (589824 bytes) |
ii.分析
start函式
首先載入基礎設定資訊,設定兩個時間回撥函式GET函式,POST函式,通過基礎配置Settings類的屬性來判斷是否需要獲取系統資訊,寫入選擇檔案,最後執行兩個時間回撥函式GET,POST,執行時間是5000秒。
LoadSettings函式
通過Settings的settingsFilePath來獲取配置檔案路徑,然後通過Decode函式來載入到記憶體,在返回一個用配置檔案資訊初始化的Settings類,否則返回預設配置
基礎配置資訊
其中可以看見預設C2地址:
https://reawk.net/202/OaZbRGT9AZ6rhLMSEWSoFykWnI7FeEbXdgvNvwZP/-1/12571/10255afc
DecodeData函式
Decode函式主要複製加解密資料檔案,就是將檔案的前32位當作key,迴圈異或後面的資料,來解碼出原始檔資料。
EnCode函式,也就是加密函式,和Decode函式同理
Get函式
從配置資訊裡面的c2地址下載資料,通過DecodeData函式解碼後傳入Process執行,
Process函式上半部分
Process函式主要將傳入的資料檔案解析執行,先申請出一個Loader型別,載入傳入的data,然後將data解base64後,根據解碼出來的資料的第一個byte來選擇需要執行的功能
Process函式中間部分
函式可執行的主要功能:
1.獲取系統資訊 寫入.sif檔案
2.獲取檔案列表 寫入.flc檔案
3.獲取指定檔案,先複製移動到.fls
4.修改setting
5.更新c2地址
6.準備上傳檔案
7.載入檔案執行
8.設定檔案最大尺寸
9.下載檔案
Case功能列舉表格:
| Case值 | 功能 |
| 1 | 獲取系統資訊 寫入.sif檔案 |
| 2 | 獲取檔案列表 寫入.flc檔案 |
| 3 | 獲取指定檔案,先複製移動到.fls |
| 4 | 修改setting |
| 5 | 更新c2地址 |
| 6 | 準備上傳檔案 |
| 7 | 載入檔案執行 |
| 8 | 設定檔案最大尺寸 |
| 9 | 下載檔案 |
Process函式下半部分
Process函式執行出現異常就寫入隨機命名.err檔案
POST函式上半部分
POST函式中間部分
POST下半部分
POST函式結束部分
把執行寫入的檔案,也就是GET獲取請求執行後的資訊或者程式異常的的資訊寫入的檔案,準備上傳同時刪除寫入的檔案,如果執行報錯依然寫入.err檔案
UploadFile函式
通過之前post函式更具檔案的字尾入.sif、.fls、.err等來設定type型別,構造包體,然後發包,也就是我們說的回顯。改後面基本分析結束
後門獲取的資訊表:
三.活動總結:
1).針對中國的攻擊:
部分誘餌文件如下(介於一些因素這些樣本將不會給出相應的樣本hash)
1.a檔案與其攻擊巴基斯坦的樣本有著一定的相似性
但是有略微的不同
攻擊中國的樣本直接呼叫ActiveX控制元件物件進行解密
而攻擊巴基斯坦的樣本則是通過自實現的解密演算法進行
樣本所使用的都是Write.exe與PROPSYS.dll的白加黑組合
其中PROPSYS.dll依舊與上文流程類似
讀取其同目錄下的tmp檔案並且區其前32個位元組作為異或解密的祕鑰
然後將tmp檔案32個位元組後的資料解密後記憶體載入
同樣其解密後的後門與上文針對巴基斯坦的後門類似
2).對巴基斯坦的活動
SideWinder除了針對中國的目標之外,其還熱衷於針對巴基斯坦的相關在目標,
與針對中國的目標有相同的特點就是Sidewinder組織對巴基斯坦的軍事相關的目標也饒有興趣,並且也會去攻擊政府組織
部分誘餌如下:
該組織在對巴基斯坦的攻擊活動中使用了壓縮包中帶有lnk的攻擊手法,該手法在針對中國的活動中並沒有很多次的出現。
Lnk載荷
針對於Lnk檔案的載荷,該組織通過使用mshta.exe遠端載入目標hta檔案的手法
Hta檔案貌似也有NotNetToScript的工具,並且其採用了不同的載入payload的方式
採用wmi的方式收集本地防毒軟體資訊
替換掉內建的混淆字串,將檔案解密載入到記憶體中
呼叫pink函式
引數一為下一階段的hta檔案
引數二是收集到的防毒軟體資訊
引數三是被base64加密的doc檔案資訊
引數四是doc誘餌檔名稱
記憶體載入的dll名稱為:LinkZip.dll
釋放誘餌文件並開啟,做到偽裝的目的
下載下一階段的hta檔案並用mshta.exe執行
下一階段hta的程式碼與前文的差不多,利用js載入記憶體執行payload
該一類樣本的流程圖如下:
在另一個樣本中,我們發現了相同的釋放doc的程式碼
Mydoc.docx如下
以及類似的函式pink
但是經過分析
這個的第一個引數為exe檔案的資料
第二個引數為dll檔案的資料
第三個引數是wmic命令收集的防毒軟體資訊
其C#記憶體載入的dll為prebothta.dll
其根據不同的防毒軟體資訊執行不同的策略
釋放lnk到啟動資料夾以持久化
釋放bat並執行
由於該樣本的回連下載的伺服器已經失效,故不能分析
該一類樣本的流程圖如下:
六.技術特點以及演進:
注意:該特點不具有普適性,同時裡面給出的時間節點只是在那個時間段內該組織針對目標使用最多的手法,不是代表在那個時間段該組織使用的全部手法,該組織會針對目標的不同進行調整
1) .白加黑的使用
| Exe名稱 | Dll名稱 | 屬性資訊 |
| Cmdl32.exe | Cmpbk32.dll | Microsoft連線管理器自動下載 |
| Credwiz.exe | Duser.dll | 系統憑據備份和還原嚮導 |
| Write.exe | Propsys.dll | 寫字板程式 |
| Rekeywiz.exe | Duser.dll | EFS REKEY嚮導 |
該組織在白加黑的尋找上偏向於尋找系統檔案的白加黑利用,在2018年的活動中主要使用cmdl32.exe+cmpbk32.dll與credwiz.exe+duser.dll的兩種組合,在2019年的活動中新增加了wrte.exe+propsys.dll與rekeywiz.exe與duser.dll的組合
未來估計會有別的新的白加黑組合的出現
2)載荷的明文字元的處理方式
該組織在對js指令碼記憶體載入C# dll檔案的時候,採用了字串拼接等手段.其在2019的1月份到10月份通常採用的是base64解密其c# dll的shellcode然後記憶體載入,並且其中呼叫的activexobject都可見,極其方便於分析以及安全軟體的查殺,在11月份到12月份針對巴基斯坦的攻擊活動中,該組織大幅度的對其明文字串進行了混淆,主要採用自編的異或演算法和base64進行解密操作
3).漏洞檔案載入js loader的方式
在2019年1月到3月的活動中,該組織主要採用的是通過漏洞載入遠端地址上託管的hta檔案,但在2019年3月到12月的活動中,則採用使用在本地釋放1.a檔案,再載入1.a檔案的js程式碼.其中該組織都會採用命令列替換的方式去載入惡意js
4).lnk攻擊載荷載入js loader的方式
該組織對於構造lnk檔案的載荷也是變化多樣,不過其主要是通過使用mshta.exe執行託管於伺服器的遠端hta檔案,不過該組織總是通過不同的手段來掩蓋其執行的策略,比如下圖中的執行start來拉起mshta以及利用lnk的性質來偽裝成ctfmon以欺騙受害者的執行(具體手段請看參考連結中瑞星的報告,這裡就不再贅述)
六.總結
sidewinder(響尾蛇)組織作為一個迅速進步,以及擁有c++,c#,delphi等後門以及大規模使用js以及開源的工具對其後門進行裝載,使用lnk以及文件載荷。並且其誘餌樣本的大部分檔案都是誘惑力很高的檔案,這種高的誘餌文件會加大人員的受害機率.並且使用系統檔案的白加黑技術和記憶體載入技術與防毒軟體進行對抗。
七.IOCs:
md5:
D2522E45C0B0D83DDDD3FCC51862D48C
1FE3D9722DB28C2F3291FF176B989C46
444438F4CE76156CEC1788392F887DA6
3CD725172384297732222EF9C8F74ADC
C0F15436912D8A63DBB7150D95E6A4EE
C986635C40764F10BCEBE280B05EFE8C
D1C3FA000154DBCCD6E5485A10550A29
B956496C28306C906FDDF08DED1CDF65
A1CA53EFDA160B31EBF07D8553586264
204860CE22C81C6D9DE763C09E989A20
DE7F526D4F60B59BB1626770F329F984
2CB633375A5965F86360E761363D9F2F
5CD406E886BD9444ADEE4E8B62AA56CC
358450E19D38DB77C236F45881DCEBEF
29325CDBDE5E0CF60D277AA2D9BA4537
836419A7A4675D51D006D4CB9102AF9C
A1CA53EFDA160B31EBF07D8553586264
16E561159EE145008635C52A931B26C8
21CC890116ADCF092D5A112716B6A55F
62606C6CFF3867A582F9B31B018DFEA5
52FA30AC4EDC4C973A0A84F2E93F2432
CE53ED2A093BBD788D49491851BABFFD
737F3AD2C727C7B42268BCACD00F8C66
2D9655C659970145AB3F2D74BB411C5D
032D584F6C01CC184BF07CDEC713E74D
FB362FE18C3A0A150754A7A1AB068F1E
423194B0243870E8C82B35E5298AD7D7
81F9EB617A2176FF0E561E34EF9FF503
7E23C62A81D2BFB90EF73047E170DEA8
58B5A823C2D3812A66BBF4A1EBC497D3
5E98EA66670FA34BF67054FB8A41979C
8DA5206BACACD5C8B316C910E214257F
65F66BC372EA1F372A8735E9862095DA
361DFD8F299DD80546BCE71D156BC78E
1B11A5DD12BB6EC1A0655836D97F9DD7
9B1D0537D0734F1DDB53C5567F5D7AB5
3EE30A5CAC2BEF034767E159865683DF
4513F65BDF6976E93AA31B7A37DBB8B6
FF9D14B83F358A7A5BE77AF45A10D5A2
C2:
cdn-in[.]net
urls:
http://cdn-in[.]net/includes/b7199e61/-1/7384/35955a61/final
http://cdn-in[.]net/plugins/-1/7384/true/true/
http://cdn-in[.]net/includes/b7199e61/-1/7384/35955a61/final
http://cdn-in[.]net/plugins/-1/7384/true/true/
msftupdate[.]srv-cdn[.]com
urls:
hxxps://msftupdate[.]srv-cdn[.]com/cdne/plds/zoxr4yr5KV[.]hta
hxxps://msftupdate[.]srv-cdn[.]com/fin[.]hta
www[.]google[.]com[.]d-dns[.]co
urls:
hxxp://www[.]google[.]com[.]d-dns[.]co/includes/686a0ea5/-1/1223/da897db0/final[.]hta
webserv-redir[.]net
urls:
hxxp://webserv-redir[.]net/includes/b7199e61/-1/5272/fdbfcfc1/final
pmo[.]cdn-load[.]net
urls:
hxxp://pmo[.]cdn-load[.]net/cgi/5ed0655734/-1/1078/d70cc726/file[.]hta
fb-dn[.]net
urls:
hxxp://fb-dn[.]net/disrt/fin[.]hta
cdn-edge[.]net
urls:
hxxp://cdn-edge[.]net/checkout[.]php
hxxp://cdn-edge[.]net/cart[.]php
hxxp://cdn-edge[.]net/amount[.]php
ap12[.]ms-update-server[.]net
urls:
hxxp://ap12[.]ms-update-server[.]net/checkout[.]php
hxxp://ap12[.]ms-update-server[.]net/cart[.]php
hxxp://ap12[.]ms-update-server[.]net/amount[.]php
s2[.]cdn-edge[.]net
urls:
hxxp://s2[.]cdn-edge[.]net/checkout[.]php
hxxp://s2[.]cdn-edge[.]net/cart[.]phpB
hxxp://s2[.]cdn-edge[.]net/amount[.]php
webserv-redir[.]net
urls:
hxxp://webserv-redir[.]net/plugins/-1/5272/true/true/
hxxp://webserv-redir[.]net/plugins/-1/5272/true/true/done
s12[.]cdn-apn[.]net
urls:
hxxp://s12[.]cdn-apn[.]net/checkout[.]php
hxxp://s12[.]cdn-apn[.]net/cart[.]php
hxxp://s12[.]cdn-apn[.]net/amount[.]php
cdn-do[.]net
urls:
hxxp://cdn-do[.]net/plugins/-1/7340/true/true/
cdn-list[.]net
urls:
hxxp://cdn-list[.]net/KOmJg2XSthl3PRhXnB6xT6Wo967B1n5uGf7SfiBC/-1/7340/b729d30c/css
http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/1
http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/2
http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/3
http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/v4[.]0[.]30319
http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/4
http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/5
http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/6
http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/7
http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/8
http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/9
http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/10
http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css
http://cdn-in[.]net/includes/b7199e61/-1/7384/35955a61/final
http://cdn-in[.]net/plugins/-1/7384/true/true/
http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/1
http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/2
http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/3
http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/v4[.]0[.]30319
http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/4
http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/5
http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/6
http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/7
http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/8
http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/9
http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/10
http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css
https://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/43e2a8fa/css
sd1-bin[.]net
urls:
https://www.sd1-bin[.]net/images/2B717E98/-1/12571/4C7947EC/main.file.rtf
reawk[.]net
ap1-acl[.]net
八.參考連結
http://it.rising.com.cn/dongtai/19639.html
https://www.antiy.cn/research/notice&report/research_report/20190508.html
https://www.freebuf.com/articles/network/196788.html
http://it.rising.com.cn/dongtai/19658.html
http://it.rising.com.cn/dongtai/19655.html
相關文章
- "Cyrus"APT組織:"SideWinder(響尾蛇)"的兄弟APTIDE
- 蛇從暗黑中襲來——響尾蛇(SideWinder) APT組織2020年上半年活動總結報告IDEAPT
- 刺向巴勒斯坦的致命毒針——雙尾蠍 APT 組織的攻擊活動分析與總結APT
- APT組織檔案館|2021年度APT組織活動態勢分析APT
- 針對巴基斯坦的某APT活動事件分析APT事件
- Kimsuky APT組織利用疫情話題針對南韓進行雙平臺的攻擊活動的分析APT
- 伸向中亞地區的觸手——DustSquad APT組織針對烏茲別克的活動分析APT
- 烈火燒不盡的“惡性毒草”—— 摩訶草APT組織的攻擊活動APT
- APT組織Lorec53(洛瑞熊)發動多輪針對烏克蘭的網路攻擊活動APT
- 微軟稱阻止了黎巴嫩黑客組織對以色列的攻擊活動微軟黑客
- 谷歌揭露兩個朝鮮黑客組織的網路攻擊活動谷歌黑客
- 美人魚(Infy)APT組織的歸來——使用最新的Foudre後門進行攻擊活動的分析APT
- 重要揭秘!LAZARUS組織最新活動中的新型攻擊技術
- SWEED駭客組織攻擊活動分析報告
- 組織2012北京敏捷之旅活動有感敏捷
- 新的組織結構
- 隱寫術、小火龍與AgentVX:APT組織Evilnum新攻擊活動詳細分析APT
- 南亞APT組織Bitter正在針對中國的核能機構進行網路攻擊APT
- 基於知識圖譜的APT組織追蹤治理APT
- APT組織跟蹤與溯源APT
- 深入剖析某國外組織針對中國企業的APT攻擊(CVE-2015-8651)APT
- 黑客組織是如何針對美軍採取行動的?黑客
- 銷售組織的結構
- Oracle堆組織表的索引和索引組織表Oracle索引
- 追溯朝鮮APT組織Lazarus的攻擊歷程APT
- 建立適於敏捷的組織文化敏捷
- 物料管理中的組織結構
- 會計中的組織結構
- 007駭客組織及其地下黑產活動分析報告
- 境外“暗駭客棧”組織對國內企業高管發起APT攻擊APT
- 物料主記錄的組織結構
- 疑似APT組織針對多吉幣關注者進行魚叉式定向攻擊APT
- 微軟將朝鮮黑客組織告上法庭——以法律之劍,斬APT組織之鏈微軟黑客APT
- 組織知識的方法
- 系統的模組組織
- 企業IT組織的治理
- React元件設計實踐總結02 - 元件的組織React元件
- 基於上下文感知計算的APT攻擊組織追蹤方法APT