FIN7继续针对餐饮业&turla通过png dropper回归+各类情报资源

释放双眼,带上耳机,听听看~!

威胁情报

一、FIN7针对餐饮业继续攻击

仍然是典型的FIN7手段,恶意宏,通过VBScript执行JavaScript后门

本次样本中宏打开如下,且宏有密码保护,密码为“goodmorning

最后运行的JavaScript具有后门功能,会直接与C2通信(bing-cdn.com),还会把主机信息传回C2

下面是同源找的另一段,还具有反虚拟机的功能呢

通过vbcontrol文件中的明文字符串可以加yara规则,进而进一步找同源样本

相关链接:

http://blog.morphisec.com/fin7-not-finished-morphisec-spots-new-campaign

二、

turla通过png dropper回归

png dropper,在2017年被俄罗斯APT组织turla用于分发snake远控(此前png dropper的分析文章见此  

https://www.carbonblack.com/2017/08/18/threat-analysis-carbon-black-threat-research-dissects-png-dropper/  )

近期其分发了一个新的payload,被命名为RegRunnerSvc

首先是加载方式

png dropper的目的是加载和运行隐藏在许多PNG文件中的PE文件,如下为资源文件

dropper会枚举每个PNG资源并提取像素数据,然后将它们拼接在一起,最后手动加载PE文件。该PE则为RegRunnerSvc,该pe的目的是从注册表中提取加密的payload,并将其加载到内存中,然后运行它。这中间解密的步骤比较繁琐

提取png的PE程序如下,之后变种估计也可以改改继续用。

https://github.com/nccgroup/Cyber-Defence/tree/master/Scripts/turla_image_decoder

原文中还有找这类png dropper和png图像的yara规则,有需要自取

相关链接:

https://www.nccgroup.trust/us/about-us/newsroom-and-events/blog/2018/november/turla-png-dropper-is-back/

三、双尾蝎组织新情报,通过新闻pdf传播

02c27cbb38d275339f723589192b9bab2d6252c3 a38b7446dc91019be029776dae50e54c1ae016f7 71f9124084c4f5527341a5e770f0792367a3484e 

 C&C domain: my-files[.]host

安全资源

#安全大会#  POC 2018 大会议题资料公开:

https://sec.today/events/932399cb-22b0-4e9b-8795-a4f38886110a/ 

POC 大会历届会议议题资料整理: 

https://sec.today/search/?q=poc&type=Events&order_by=datetime

yuange 发了一篇文章 安全编程模型 2000年研究IIS,总结原来的漏洞,归纳、总结、创新,建立自己的模型,对安全的理解,然后再指导漏洞研究。很快就取得很好的效果。      

这就是我这几年一直在提的安全研究也要学数学的归纳、总结、创新的路子,以及我创新的归纳出对安全的理解:安全是一个条件语句。最后对于安全编程就是模块一定要严格按编程接口要求实现功能,否则就是bug。    “安全是一个条件语句”,这个总结加上以前的一些理解,出来了后来的DVE利用。安全编程的接口模型,指导找出了很多漏洞。这个文件名fuzz测试就暴露了很多问题,半个汉字,“.”、“ ”字符的截断、设备名等。

相关链接:

https://weibo.com/ttarticle/p/show?id=2309404309504354308682&is_all=1&sudaref=t.co&display=0&retcode=6102

黑色星期五最后一天的价格,各位速进

本文源自微信公众号:黑鸟

人已赞赏
安全工具

美国又来了?水电系统遭“电磁攻击”,委内瑞拉再度大范围停电

2019-10-16 10:49:11

安全工具

错综复杂:Ryuk勒索软件攻击事件背景整理与总结

2019-10-16 10:49:16

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索