皇冠体育寻求亚洲战略合作伙伴,皇冠代理招募中,皇冠平台开放会员注册、充值、提现、电脑版下载、APP下载。

首页科技正文

usdt支付对接(www.caibao.it):针对性伪装攻击,终端信息平安的特工--海莲花 APT

admin2021-04-0215资讯

USDT第三方支付API接口

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

靠山概述

近期,笃信服终端平安团队捕捉并剖析了一个APT样本,经由剖析职员确认来自近年来频仍活跃的“海莲花”组织。

*2012年4月,首次发现某境外黑客组织对中国政府、科研院所、海事机构、海域建设、航运企业等相关主要领域睁开了有组织、有设计、有针对性的长时间不中止攻击。该组织主要通过鱼叉攻击和水坑攻等方式,配合多种社会工程学手段举行渗透,行使木马程序入侵并控制特定目的人群的终端系统,窃取相关的隐秘资料。凭证该组织的攻击特点,将其命名为“海莲花”(OceanLotus)。

“海莲花”组织自首次发现以来,已被发现先后使用了4种差异形态的木马程序。初期的木马程序并不庞大,对照容易被发现和查杀。但近年来捕捉的“海莲花”攻击样本均增添了一系列庞大的攻击手艺,防护查杀的难度也呈正比增添。

此次笃信服终端平安团队捕捉的样本就具备了以下特征:

• 白加黑投递,行使正常软件加载恶意攻击载荷

• 准确攻击,只有特定主机才气解密执行远控木马

• 多重加密,在天生最终载荷前,执行了四次解密操作

执行流程图如下:

样天职析

APT样本包罗lenovodrvtray.exe和DgBase.dll两个文件

其中lenovodrvtray.exe是带有正规数字署名的遐想驱动自动安装软件

lenovodrvtray启动时会加载恶意文件DgBase.dll

DgBase.dll载入后会从资源段中解密释放一段代码跳转执行

该段代码同样是经由加密的,在执行前会不停异或解密汇编代码

经由数次自解密后跳转到该段代码真实入口点

行使主机名天生哈希值,凭证该HashData天生密钥

将数据拷贝到新的地址并使用密钥解密

确立线程执行解密出来的代码

执行StartServiceDispatchW

,

usdt支付接口

菜宝钱包(www.caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

,

执行RegisterServiceCrtlHandle将恶意程序注册为服务

该线程会从自身地址偏移0xB78B处最先搜索提取PE文件

申请新的内存空间用于拷贝新的PE文件

该PE会执行两次,第一次天生域名、IP等信息,第二次作为远控木马执行

跳转到PE处执行,该远控木马包罗通讯和控制模块

通讯模块函数(offset:0x0397),会每隔3000ms对域名举行一次请求

请求域名为bootstrap.cssracniu.com,IP地址为193.36.119.47

请求头为

请求路径为/N9900/adj/amzn.us.sr.aps

乐成收到对应域名的指令后,会进入远控模块执行下令

拥有多达80+远控指令,包罗文件、注册表、历程操作等等

相关IOC

域名:bootstrap.cssracniu.com

IP:193.36.119.47

Hash:3452471158ED7E6BDE3D66141B08CEA4

一样平常提防措施:

1、实时给系统和应用打补丁,修复常见高危破绽;

2、不要点击泉源不明的邮件附件,不从不明网站下载软件;

3、阻止使用弱密码,准时举行密码修改以及加固;

4、定期查看终端日志,检查终端是否存在异常行为。

网友评论