安信与诚-威胁月日报（8月份）

>

元数据资料大小

11.88 KB (12,160字符串)

元数据资料格式

ELF

等待时间钉

无

履历验证

无

加壳型式

无

解释器语言

C/C++

VT首次网路上等待时间

2022-06-26 04:46:32 UTC

VT检验结果

7/55

有系统

掩饰内置和严重破坏型比对被同时可供使用到种系统之中。掩饰内置暂时执行后分作载入各个严重破坏型比对，将种系统可执行分别取而代之相关联的比对，以取而代之sort可执行的比对为例：掩饰内置用sort可执行取而代之grub2-mkimage可执行，再用到不当编码取而代之sort可执行，达到做到持续性既有的借以。在暂时执行sort可执行时，种系统将在暂时执行不当编码时正常人驱动，用意迷惑服务器。

取而代之相关联列于

比对MD5

被取而代之的种系统可执行

被取而代之的grub2电脑程式集可执行

3ECC6A14AB062BA2C459A49CCC6DA6CA

sort

grub2-mkimage

scp

grub2-mkrescue

FE31F69BFC3CBA3E3148E0828A28AFB7

nmcli

grub2-render-label

CFF44FD00A926C112EA30CB8E2F1C7D8

du

grub2--check

56FC7CE52006F41E72255ED24E4CAA75

df

grub2-fstest

B8A94EBD8A7F1EEA8969D0FD4F88335D

curl

grub2-mknetdir

AE0FF4BB866B2FD03D7019E2251AC24F

top

grub2-mkpasswd-pbkdf2

C1D496BE65D18BABF1252DF8CCF95660

find

grub2-mkstandalone

3.4 严重破坏型比对研究

比对页面

病菌旧名

Trojan/Linux.Dropper

零碎元数据资料名

abs

MD5

C1D496BE65D18BABF1252DF8CCF95660

处理内置架构

Advanced Micro Devices X86-64

元数据资料大小

526.25 KB (538,880字符串)

元数据资料格式

ELF

等待时间钉

无

履历验证

无

加壳型式

无

解释器语言

C/C++

VT首次网路上等待时间

2022-06-23 08:43:19 UTC

VT检验结果

21/60

有系统

为了妨碍运用软件的检验，反击者为了让开源误用内置将CGI解释器成可暂时执行元数据资料，做到在内存之中动态暂时执行CGI。

当服务器暂时执行种系统可执行时，也就是说暂时执行的为严重破坏型比对。比对暂时执行后，绑定grub2电脑程式集的可执行，此时也就是说暂时执行的为种系统可执行。通过驱动种系统可执行暂时执行的结果，将比对掩饰成种系统正常人程序来，使被害人放松提醒。

创立著手勤务，每月底暂时执行一次不当编码。

辨别暂时执行等待时间晚于2022年6月底20日0时，会有严重破坏犯罪行为。

反击者在不间断会有的基础上，增加了提前结束会有的功用。反击者只须要要随即可供使用比对并暂时执行掩饰内置，就亦会将grub2电脑程式集可执行随即取而代之为top等可执行，而这些可执行已在第一次暂时执行时被取而代之为不当编码，因此再一grub2电脑程式集被取而代之为不当编码。当被害人暂时执行种系统可执行时，元数据资料名为grub2电脑程式集可执行的不当编码顺利进行，第一时间会有严重破坏犯罪行为，不受右边所述的订于特典。

删去/etc元数据资料夹下所有旧名匹配*con*的元数据资料，引发种系统之中运用软件的配置元数据资料缺失，引发有利于的严重破坏。

比对将可选的之简体中文以下内容驱动到登记可选之中。相结合编码之中的脚注“fake information”（欺诈数据资料）及运算符结构辨别，这段不完整的字符串可能是作假和拼凑的。通过相关联，并没推测与“夙恶意该组织”所谓的其它数据资料，可确定这段注释是反击者作假的，借以是转到视线，掩盖反击者的真实履历。

在本次脱逃的比对之中推测两处编码执笔正确，就其如下：

1. 反击者设法向root个人信息之中载入密码学，但是参数设立正确。在下文的可执行之中删去了root个人信息，间接引发了载入的密码学过载；

2. 反击者取而代之了find可执行，在暂时执行CGI之中的find可执行时造成了堵塞反转，引发近期可执行未暂时执行；

3. 当反击者在2022年6月底20日先前会有不当编码时，grub2电脑程式也被取而代之为不当编码。由于CGI执笔误判，此必须被会有后将反转暂时执行不当编码，引发种应用软件被用尽。

关于本反击政治事件的背后命题可知：

1. 根据比对编码之中出现的汉字字符串以下内容，所述本次反击的期望为本土管理人员；

2. 在本次脱逃的比对之中没推测横向漂移、窃密载入等操纵，所述反击者以严重破坏种系统正常人行驶为借以。相结合不间断会有，所述反击在会有政治事件先前早已开始，反击者通过不间断会有的作法，在会有等待时间先前手动病菌能够多的游戏机，以引发越来越大的严重破坏效果。

3. 比对之中大量的命题正确列于明反击者低水平不高，载荷尚不成熟。

3.5 揭示

本次脱逃的比对将种系统命令胁持为不当编码，并创立著手勤务做到持续性既有，不间断会有严重破坏功用，引发种系统未顺利进行并严重破坏业务种系统数据资料，对数据资料安全性产生大大顾虑。由于现阶段没获取到越来越多的两地数据资料，未对反击者的入侵作法卓有成效判断。因此，促请服务器做好常规的适配内置安全性破片工作，加装适配内置城防运用软件，同时将重要数据资料在异地、多地卓有成效安全性备用，作为数据资料安全性的有力保障。

四、被犯罪犯罪行为的Slack免费：APT29针对博洛尼亚的反击社交活动研究

4.1 历史背景

PT29，亦称CozyBear, Nobelium, TheDukes，某设计团队结构上号码APT-Q-77，被相信是与东欧某国当局有关的APT该组织。该该组织反击社交活动可追溯至2008年，主要反击期望以外欧美当局该组织的机构、智囊团。APT29时曾实施大规模鱼钩反击，获取反击期望的机构或附属该组织的管理人员数据资料，并针对其之中的高重要性期望采取有利于的网络间谍社交活动。

2021年5月底，微软公司援引了该该组织几种反击武内置，其之中以外EnvyScout，这种不当运用软件通过HTML元数据资料被囚构成近期不当载荷的ISO元数据资料。2022年4月底，Mandiant将2020年SolarWinds反击政治事件的幕后黑手UNC2452该组织归并到APT29。APT29在来年月底底被援引的鱼钩反击社交活动之中屡次为了让实质上无线电免费作为CCoC信令3,4，比如设计团队相互合作免费Trello和元数据资料托管地免费Dropbox。

4.2 简述

全面性，某设计团队顾虑提供情报之中心在日常的顾虑猎取之中脱逃到EnvyScout反击比对，该比对被囚的ISO元数据资料之中构成LNK元数据资料以及设立了元数据资料隐藏也就是说的PE元数据资料，LNK元数据资料顺利进行其之中的正常人EXE，进而以侧读取作法暂时执行不当DLL。不当DLL为了让设计团队相互合作无线电免费Slack作为CCoC信令，获取近期载荷并暂时执行。

国外安全性研究管理人员有利于推测了与该EnvyScout反击比对所谓的捕鱼电子邮件和PDF暗处软件包。电子邮件与PDF均用到博洛尼亚语，以下内容是尽快的机构其他部门管理人员进行COVID-19诊疗的通知，捕鱼电子邮件用到德国当局域名卓有成效掩饰，因此可以相信此次反击期望位于博洛尼亚。相结合对同源比对的研究，推测此次反击社交活动至少从6月底之春季开始。

比对反击处理现实生活如下附注。

4.3 比对研究

作为反击出口处的捕鱼电子邮件如下，电子邮件作假来自德国当局域名governo.it，但也就是说的发件电话号码为”info@cesmoscan.org”，此外电子邮件以下内容之中“COVID-19“出现了拼写正确。

电子邮件见下文PDF软件包”Dekret.pdf”打开后以下内容如下，是对电子邮件序文写到的所谓第348/2022号当局法令的明确指出。

暗处PDF之中的关键字相反hxxps://www.agencijazaregistraciju.rs/i.html，该URL存放的就是脱逃的EnvyScout反击比对。APT29当年用到EnvyScout时一般是单独将其作为捕鱼电子邮件的见下文，而在此次反击社交活动之中，EnvyScout通过暗处软件包之中的远程关键字会有，越来越具隐蔽性。

脱逃的EnvyScout反击比对i.html的基本数据资料如下。

元数据资料名

i.html

MD5

3aa44a7951ad95d0226e9e2a174c2e

元数据资料型式

HTML

html的就其以下内容如下附注。被害人访问i.html时，User-Agent和IP数据资料亦会截取hxxps://www.agencijazaregistraciju.rs/t.php。然后页面之中嵌入的ISO元数据资料数据资料掩饰为暗处PDF软件包之中写到的诊疗问卷，利用被害人流媒体。

流媒体的Decret.iso基本数据资料如下。

元数据资料名

Decret.iso

MD5

6228d15e3bb50adfa59c1bdf5f6ce9f0

元数据资料型式

ISO

Decret.iso之中构成的元数据资料如下，其之中Decret.lnk和HPScanApi.dll为不当元数据资料，元数据资料变越来越等待时间均为北平等待时间6月底29日。ISO解压打开后除Decret.lnk之外，其余元数据资料均被设立了元数据资料隐藏也就是说，使得被害人只能看到Decret.lnk这一快捷作法元数据资料。

Decret.lnk元数据资料数据资料如下，被害人其他用户后，顺利进行同目录下的HP2.exe。

元数据资料名

Decret.lnk

MD5

元数据资料型式

LNK

HP2.exe读取version.dll，而version.dll亦会有利于读取上锁HPScanApi.dll。

HPScanApi.dll

HPScanApi.dll元数据资料基本数据资料如下。

元数据资料名

HPScanApi.dll

MD5

解释器等待时间

2022-06-29 01:07:48 (UTC+8 北平等待时间)

元数据资料型式

PE DLL 64-bit

HPScanApi.dll之中两处用到下面这种异或的作法解码给予所须要的字符串，上锁dll首先行亦会健康检查行驶的会话旧名应该为HP2.exe。

以ntdll模块之中的RtlFindSetBits变量为出口处点创立内存，变越来越该内存上下文的rcx寄存内置，使其相反上锁dll之中的变量sub_68B0BD10，当维持内存行驶状态后，示意图亦会转到到该变量。该示意图转到分析方法与就其的内存出口处点变量所谓，只与种系统维持内存行驶状态的现实生活有关。

变量sub_68B0BD10为上锁dll的主要不当功用所在。首先行绑定变量sub_68B02F90再一从磁盘元数据资料之中读取ntdll.dll和wininet.dll的text段，此举可能是为了避免针对这两个DLL之中API设立的断点。

然后绑定变量sub_68B06AB0做到持续性既有。该变量先行健康检查dll的元数据资料路径之中””出现次数应该为1。若为1列于示该DLL是单独通过打开ISO元数据资料给予的，则暂时卓有成效近期操纵，否则变量单独赶回。

在%appdata%目录下创立名为HPScanLib的子目录。然后将HPScanApi.dll, HP2.exe, version.dll解码到该目录下。

在注册列于”HKCU SoftwareMicrosoftWindowsCurrentVersionRun”键下设立名为”LibHP”的值，相反解码的HP2.exe元数据资料路径。

进行持续性既有后，变量sub_68B0BD10开始为了让Slack免费确立CCoC信令。Slack是一款的网站设计团队相互合作无线电免费，并且支持API操纵。

上锁利用Slack免费与反击者无线电的处理现实生活如下。

上锁之中sub_68B08EF0变量负责确立信令，以外创立slack channel以及向建起的channel之中加到反击者的服务器id。

首先行获取被害人游戏机的服务器名以及游戏机名，加上4位随机数，构成创立channel的旧名。

上锁在发送劝说时加到的HTTP两部如下，其之中以外反击者用到的Slack API认可终端设备（加粗部分）。

上锁作假的User-Agent如下：

Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.7113.93 Safari/537.36

当在研究现实生活之中为了让确立连接时，给予” invalid_auth”的正确数据资料。查阅Slack API软件包，该正确数据资料可能由来终端设备过载，也可能是免费端限制了访问的IP电话号码。

如果劝说尝试，上锁亦会从赶回的json数据资料结果之中取出channel id，然后绑定“conversations.invite”这个API向建起的channel之中加到反击者的服务器id。加到的服务器id为” U03MMK35QQ1”。

信令确立后，上锁进入CCoC无线电的while反转。在反转之中首先行用“chat.postMessage“ API在建起的channel之中发送信标死讯，如果没收到免费端的正常人答复，则休眠一段等待时间，收到答复则卓有成效近期操纵。

绑定“files.list“过滤channel之中反击者相关联服务器创立的元数据资料，并从赶回的元数据资料数据资料此列于json数据资料之中提炼”url_private”字符串以下内容。

接着从hxxps:// 流媒体元数据资料。元数据资料之中的数据资料并不是shellcode本身，而是shellcode每个字符串数据资料在上锁夹编码字符列于之中的目录位置。上锁将转既有后的shellcode解码到相应的内存上，然后暂时执行shellcode。

4.4 发端研究

本次脱逃反击比对所用到的新技术与APT29历史反击表现手法有如下两处重合：

(1) 首先行初始反击比对EnvyScout通过捕鱼电子邮件驱使被害人其他用户会有，是APT29近年来常以的一种反击手段；

(2) APT29在当年反击社交活动之中多次用到实质上的网站免费提供的API构建CCoC信令，流媒体近期载荷，而此次推测的反击比对也用到了Slack免费确立CCoC信令；

(3) 该反击比对具有与先前国外业者援引的APT29反击社交活动不尽相同的特性，以外再一读取某些种系统DLL的text段以直抵适配内置破片运用软件的挂钩检验，以及解码元数据资料到%appdata%的子目录下并设立注册列于键值做到持续性既有。

加上此次反击期望位于博洛尼亚，而APT29多次针对拉丁美洲国内策动反击，因此可以相信该反击社交活动与APT29也就是说上明显相关联。

4.5 揭示

PT29该组织在此次针对博洛尼亚的反击社交活动之中采用了与以往不尽相同的反击表现手法，并在一些细节之处不断改进，能够能避免安全性破片运用软件的查出与拦截。由于采用实质上无线电免费作为CCoC信令，反击者卓有成效网络间谍社交活动的现实生活变得越来越加隐蔽。

尽管此次反击社交活动暂没推测本土受到严重影响，不过某设计团队仍在此提醒广大服务器，切勿打开社交媒体个人的来历不明的关键字，不其他用户暂时执行没知来源的电子邮件见下文，不行驶嘲讽末尾的没知元数据资料，不加装非正规途径来源的APP。做到立刻备用重要元数据资料，越来越新加装补丁。

若须要行驶，加装来历不明的运用，可先行通过顾虑提供情报元数据资料高度研究平台卓有成效归纳。现阶段已支持以外Windows、安卓平台在内的多种格式元数据资料高度研究。

。

吃益生菌没效果是什么原因
口腔溃疡缺少哪种维生素
肠炎宁颗粒的成分
怎样治疗腰椎病最有效
心肺复苏急救培训