IndigoDrop从Pastebin下载MSF外壳代码:
10.7 2019年10月–多次使用Pastebin和反检测技术
在攻击者发现了Pastebin的功能后,攻击者升级了他们的IndigoDrop实现,并使用多个Pastebin下载MSF Shellcode。一旦其中一个被删除,攻击者将使用其他链接作为备份。此外,攻击者还将Pastebin和攻击者控制的下载服务器一起作为对方的备份。
在这些IndigoDrop案例中,攻击者还在感染链中引入了反检测技术。
IndigoDrop示例中Base64编码后的下载网址:
攻击的演变如下图所示:
文章图片
XI。摘要
在这次调查过程中,表明攻击者使用各种工具和技术来实现其完整的攻击链。从定制工具到可定制的反制工具,攻击者使用各种感染方法攻击目标。此外,攻击者还使用公共和私有服务器来托管他们的恶意有效负载,并且倾向于越来越多地使用公共服务器。
因为他们使用了带有军事主题的恶意文件,这可能表明攻击者主要针对南亚的政府组织和军事组织。恶意文档包含真实的文本内容,很可能是法律文档的武器化版本,从而进一步加剧了混淆。
随着时间的推移,我们陆续发现了几个变种,表明威胁参与者可以在短时间内提高他们的TTP。我们最早可以观察到的攻击者的攻击活动可以追溯到2018年4月,并且随着不断的进化,攻击活动一直持续到今天。攻击者可以快速构思、测试和开发新的功能和更多样化的模块,这表明攻击者具有很高的主动性和敏捷性。根据他们使用的钴击等框架来看,这表明攻击者正在寻找通过定制组件来大规模扩展其武器库的方法。
如今,恶意软件的攻击链往往包含多个阶段和操作者实体。这些组件和实体可以托管在本地或远程服务器上。例如,此攻击由本地托管组件在运行时从远程位置下载的多个外壳代码组成。因此,这表明了基于网络的检测的重要性,也表明了借助系统行为分析和终端保护对其进行补充的重要性。
十二.威胁指标
12.1恶意文档的哈希值
b 11 DBA 0 DD 37 DD 4079 bfdb 0c 6246 e 53 BC 75 b 25 B3 a 260 c 380 bb 92 fcae 30 EC 89 b
aeb 38 a 11 ffc 62 EAD 9 CD ABBA 1e 6 a5 FCE 28502 a 361725 f 69586 c 70 e 16 de 70 f2c
71c 88 a 59 b 16 dbcf 7 f 061d 01 ea 2015658136 A8 d 4a f 60 beb 01 ca a 94 eeb 74 c 733 CD
4a 6990 be 2d 43 f 482 Fe 2 ab 377 b5 e 798 da 47 ba 7e 02 f 23 DFB 6 DBA 26 b 5011 e 222d 25
7 deeb 35d 7e 88 b 769d 286 cc 7892 ee 5966 a 27 c 39 f 03 c8 AC 12 dec 21733 faeffa 350
12.2 Dropper哈希值
570 ef 552 b 426 f 8337514 ebdcb 5935 a 132 e5a 8851 a 7252528 c 49 d6d 0d 4 ABA 34d 9
23091 a 9383704d 22468 F6 e 54 babd 57 e 64 ced 344900 e5d 3d 693 da F8 BF 609 c 997 b
c31 fceaef 91380 c 658 E4 d 77 a 78689 cafb 0 f 4179 F3 b 251200 e 969195 CBF 4 cf 7b
1c 3f 185951 b 21d 35 f 13 B2 a 999 a5d 4d 6 b 6 db 8 F4 b 913 E3 b 198 fb2c 86d 4d CD 0 b 7781
852d 4c 98 a 786 CB 2 b 0 FB 10 b 4513163 e 3934 b 66 E4 d 95 a 66 de 8 ddcc 6 ab c 066 DC 61d
78ff 0507 CAC 9828 FB 94595d 702 d2c 22 b 8 bec 7a 57 c 2159 b 78 c 924 c 0 D5 F8 CCB
e40 BDD 8 ff 9e 6432008 AFD 54 d6d 526049 ac6 BD 925 dad C2 b5 a 38 f 78 c 96 df 950d 1a
cc 0787025 b 297 ed 80 e 322d 30 b 655d 7 c 84 c 7 C3 A0 d 18 c 2089 b4f 545 a 03214 b 7557
e2db 20377 E8 cc 65 C4 cf 262 df 15 e 47 fc 21 B9 a9 f 83 FB 7931d 44 b8 d 28 c6b 9 fc0 f 1
e9 b 00 F6 f 47 EB 70 b 35713 bf7 AFD 345 a 197 f 6d 290 AFB 8d 2684 AFD 8345 EDC 086 b 29
f9a 344 c 251 DC 391 C5 d 12e 8011185 Fe 033 b5 AE 902 C5 a 866 CCD 8d 8b 49881 b 17151
95 bb 65 EDC 9 E8 e 070680 E0 c 85 f 72927 a2 BBB 553 f 96 fc 1078d 85 E7 df 7a 02 c 15165
推荐阅读
- 异性之间发生了身体亲密关系,是否会成为恋人?
- 钓的重点是诱饵
- 异性之间经常对视是偶然还是必然?
- 异性之间,最不能聊的五种话题,尤其是最后一个!
- 异性之间,关系一旦不纯洁了,就会有这五种现象!
- 异性之间,女人对你动了情,十有八九会这样
- 为蚊子准备的甜菜诱饵有用吗?
- 李晨朋友圈截图 勿恶意解读!卜柯文晒李晨朋友圈截图 5:20写下生日祝福
- 豆瓣刷分 《流浪地球》遭恶意刷低分 豆瓣宣布修改评分机制
- 代拍是什么意思 杨幂遭代拍恶意拍摄是怎么回事?什么情况?终于真相了,原来是这样!