怀孕挺大肚子疯狂高潮AV毛片,全部孕妇毛片丰满孕妇孕交,中国孕妇XXXXXXXXX孕交

  1. <s id="x54xr"><object id="x54xr"></object></s>
    <span id="x54xr"></span>
  2. <s id="x54xr"><object id="x54xr"><blockquote id="x54xr"></blockquote></object></s>
    1. <em id="x54xr"></em>
    2. MuddyWater 持續瞄準中東發起攻擊
      2022-7-1
      點擊數: 52          作者:未知
      • 2020 年第四季度以來,MuddyWater 一直針對中東國家發起持久的攻擊行動。根據最新發現的樣本,研究人員認為攻擊活動仍處于活躍狀態。MuddyWater 被認為是由伊朗革命衛隊運營的組織,主要維護伊朗的國家利益。

        攻擊通常從一個壓縮文件開始,文件中包含一個嵌入 VBA 宏代碼的惡意 Word 文檔。

        image.png-103.2kB惡意文檔樣本

        根據文件內容,可以看出似乎為講阿語的用戶專門設計的。也有一些樣本包含英語的通用消息,誘導用戶啟用宏代碼。

        image.png-138.8kB惡意文檔樣本

        image.png-196kB惡意文檔樣本

        盡管不能明確確定攻擊的具體目標,但根據分析攻擊針對巴基斯坦、哈薩克斯坦、亞美尼亞、敘利亞、以色列、巴林、土耳其、南非、蘇丹等國家。這些國家都被認為是伊朗的利益相關,或者是伊朗在其他地區的發展與戰略相關。

        宏代碼實際上非常簡潔,將一個模糊程度不高的 VBS 腳本寫入 C:\ProgramData 或 Windows 啟動文件夾,文件名為 Temp_[3-5 隨機字符].txt。

        image.png-291.5kB惡意 VBA 宏代碼

        釋放的樣本是一個小型的 RAT。首先通過 whoami 進行偵察,再結合所屬國家信息構建 C&C 通信的 URI。樣本中發現的國家代碼有:

        PK -> 巴基斯坦

        AR -> 阿根廷

        AM -> 亞美尼亞

        SY -> 敘利亞

        IL -> 以色列

        BH -> 巴林

        TR -> 土耳其

        SA -> 沙特

        SD -> 蘇丹

        KK -> 哈薩克斯坦

        image.png-84.3kB去混淆代碼

        image.png-64.5kB去混淆代碼

        函數在執行 explorer.exe 后再調用一個函數從一個數組中選擇一個 IP 地址,如果所選 IP 沒有回復將會重新選擇。C&C 使用的 HTTP GET 請求結構為:http://{ IP_address }/getCommand?guid={ recon_string }。

        image.png-48kBHTTP GET 請求

        沒有響應的情況下將輪換下一個 IP 地址。如果有響應則需要去混淆并創建 WScript.Shell 對象來調用函數執行。

        image.png-87kB部分代碼

        執行結果輸出到 TXT 文件中,讀取并將其發送回 C&C 服務器。后續使用 HTTP POST 請求,結構如下所示:

        image.png-65.6kBHTTP POST 請求

        flag_value實際為狀態,在腳本中也是一個初始值為 0 的變量。執行并接收命令回傳結果后會將其設置為 1,除此之外沒有任何修改。在腳本初始執行 whoami_wrap 時會檢查該值,與 126 進行比較,如果解析為 True,則會顯示以下提示消息。

        image.png-61.5kB提示消息

        樣本中唯一實現的就是通過 WMI 獲取失陷主機相關信息:

        image.png-118.5kB部分代碼

        這樣一個功能并不完整的樣本,在長達兩年的時間被多次用于各種攻擊。攻擊者可能會根據失陷主機的具體情況,再決定是否需要深入下一階段。

        IOC

        4e8a2b592ed90ed13eb604ea2c29bfb3fbc771c799b3615ac84267b85dd26d1c
        ae6dba7da3c8b2787b274c660e0b522ce8ebda89b1864d8a2ac2c9bb2bd4afa6
        185.117.73.52
        fbd2a9f400740610febd5a1ae7448536dd95f37b85dfd2ca746e11a51086bd4b
        2245fc9d9aea07b0ffdac792d4851ceed851a3bf1d528384e94306e59e3abd16
        84d523833db6cc74a079b12312da775d4281bf1034b2af0203c9d14c098e6f29
        cab75e26febd111dd5483666c215bb6b56059f806f83384f864c51ceddd0b1cf
        faa6258d7bd355329a9ad69e15b2857d24f9ac11a9782d1a215149938460ac4b
        2f2492b7bb55f7a12f7530c9973c9b81fdd5e24001e4a21528ff1d5b47e3446e
        ed4b523a0eecc5de172a97eb8acb357bc1f4807efec761ec2764f20ef028cc63
        ea24c5a8b976919d4c8c4779dc0b7ef887373f126c4732edf9023b827b4e4dc4
        1d133cc388415592e2e2246e6fb1903690068577fc82e2ae682ba0a661cea0dd
        107.174.68.60
        192.227.147.152
        dba90bd5fdf0321a28f21fccb3a77ee1ed5d73e863e4520ce8eb8fca670189c3
        0b4d660335b55d96ddf4c76664341ed52519639161a0a0a1aa0ae82951feba01


        本文作者:Avenger, 文章來自FreeBuf.COM


      熱門評論
      • 暫無信息

      驗證碼: 驗證碼,看不清楚?請點擊刷新驗證碼

      地址:廣東省惠州市惠城區東平半島惠州大道20號賽格大廈1608號

      電話:0752-2072178  傳真:0752-2072168-0  郵箱:gdoudi@ouditech.com廣東歐迪科技有限公司 版權所有

      Copyright ©2020 Guangdong Oudi Technology Corporation All Rights Reserved.

      粵ICP備16018732號-1

      怀孕挺大肚子疯狂高潮AV毛片,全部孕妇毛片丰满孕妇孕交,中国孕妇XXXXXXXXX孕交