Lazarus组织如此出名是在于2014年攻击了索尼影视娱乐公司的服务器博彩平台,泄露了该公司的许多机密数据。 2017年底,研究人员发现该组织仍然活跃,应用一些恶意工具来攻击一些目标,这些

攻击在线赌场时所使用的工具集分析

攻击在线赌场时所使用的工具集分析

  Lazarus组织如此出名是在于2014年攻击了索尼影视娱乐公司的服务器博彩平台,泄露了该公司的许多机密数据。

2017年底,研究人员发现该组织仍然活跃,应用一些恶意工具来攻击一些目标,这些工具包括能够擦除磁盘信息的恶意软件KillDisk。

  本文分析一些Lazarus组织使用的工具集,包括KillDisk。

KillDisk是在被黑的设备上执行的磁盘擦除工具。

  Lazarus组织使用的工具集很广泛,研究人员发现有一些子组织。

不像其他的网络犯罪组织,Lazarus工具的任何代码都没有泄露。

Lazarus组织使用的一些工具集是来自GitHub,其他一些来自商业化软件。

  本节会描述一些在美国中部在线赌场网络的服务器和终端上检测到的恶意工具。

研究人员有理由相信这些恶意软件与Lazarus组织相关,ESET检测到的Lazarus恶意软件有Win32/NukeSped和Win64/NukeSped。

几乎所有的工具都是Windows服务,所以管理员权限是必须的。

  Win64/NukeSped.W是系统中安装的一项服务,是用于配置的应用。

最初的一项执行步骤包括栈中动态解析必须的DLL名:

  同样地,上面Windows API的步骤名称也是动态构建的。

在这个特殊的样本中,是明文可见的;在过去的一些样本中,研究人员是以字符为单位在堆栈上进行base64编码,加密或解析的。

  这都是Lazarus恶意软件的典型特征。

另一个Lazarus的特征就是后门,它会监听特定的端口,而该端口也不会被防火墙拦截。

  在文件系统中创建了很多文件,监听的端口储存在文件%WINDOWS%\Temp\p中。

文件%WINDOWS%\Temp\perflog.evt含有一个要注入,执行和写入注册表的二进制文件的路径。

  Win64/NukeSped.AB是在当前受害者系统中创建一个当前未登录的用户的进程的一个配置应用。

在本例中,以C:\Users\public\ps.exe的形式安装。

  样本中有一些共同的特征,分别是同样的PE编译时间戳,相同的Rich Header链接数据,和部分的资源版本:

  当PE时间戳和资源从Windows 7SP1的合法PREVHOST.EXE文件中窃取出来时,其中是没有链接数据的,原来的微软文件是通过Visual Studio 2008(9.0)编译和链接的。

随后的动态分析确认了被黑的在线赌场网络中的文件是与Polish和Mexican攻击中的session hijacker相关的。

  这是一个接收许多switch的简单命令行工具。

该工具的作用是与其他进程(通过PID或者名字注入和杀死进程)、服务(中止或重新安装服务)和文件(drop/remove)一起工作。

具体的功能是与参数相关的。

  KillDisk是ESET用来命名所有检测到的有擦除功能的恶意软件,比如对boot单元造成破坏,覆写和删除系统文件等。

虽然所有的KillDisk恶意软件含有相同的功能,但不同样本的代码相似性和相关性并不强。

  在美国中部在线赌场的案例中,研究人员在其网络中检测到两个Win32/KillDisk.NBO的变种。

研究人员在企业超过100台主机中检测到了该恶意软件。

基于这些数据,加上检测到的Win32/KillDisk.NBO变种和目标网络中的其他Lazarus恶意软件,研究人员相信KillDisk恶意软件与Lazarus组织有关。

  其中一个变种是由商业PE保护器VMProtect保护的,这会让解压变难。

攻击者可能并不会去购买licence,但是可能会使用网络上泄漏的licence。

然而用protectors在Lazarus组织也是常见的,在2017年2月的Polish和Mexican攻击事件中,他们就使用了Enigma Protector,一种VMProtect的老一点的版本。

  这可能不是一个有信服力的线索,但是在ESET检查恶意软件样本的格式字符串时发现,只有Lazarus组织的样本中会有这样的结果。

研究人员得出结论,这些格式字符是与Lazarus组织相关的。

  攻击者还使用了一个开源工具Mimikatz,该工具是用来窃取Windows凭证的。

Mimikatz会接受一个参数,也就是文件名来存储输出的文件。

如果没有接收到参数默认会输出到与Mimikatz相同目录的 ~Temp1212.tmp文件。

输出的文件含有当前登录用户的Windows凭证的哈希值。

Mimikatz也是APT组织和其他网络犯罪分子常用的工具。

  上面提到的大多数工具都会在攻击的第一阶段由恶意释放器和加载器下载并安装在受害者系统中。

攻击者还是用Radmin 3和LogMeIn这样的远程访问工具来远程控制受害者设备。

  这起攻击事件说明Lazarus组织的工具集在每次攻击中都会重新编译。

攻击本身是很复杂的,含有许多的步骤,以及数十个受保护的工具。

攻击者使用KillDisk主要的原因有两个,一是在监听活动之后覆盖自己的足迹,二是直接用于攻击活动。

同时,研究人员发现该攻击中企业网络有超过100台终端和服务器被感染恶意软件,说明攻击者在攻击前做了很多的准备工作。



上一篇:揭穿网络赌场作弊黑幕    下一篇:放手豪赌吸豪客 大西洋城瑞佛赌场正式开幕    


Powered by 赌场排名 @2013-2022 RSS地图 HTML地图

网站统计——

  • 谷歌搜索留痕推广
  • 谷歌搜索留痕排名技术
  • 谷歌快速排名
  • 留痕方法
  • 谷歌搜索快速方法
  • google搜索留痕程序
  • 谷歌快速排名
  • 澳门太阳城
  • 最大博彩公司
  • 谷歌搜索关键词排名
  • 搜索留痕程序
  • 谷歌排名出售
  • 谷歌蜘蛛池排名
  • 搜索留痕软件
  • 缅甸果敢赌场
  • 电子游艺规则
  • 谷歌留痕推广
  • google引流程序
  • 谷歌快速排名
  • google引流程序
  • 留痕推广
  • 大西洋城赌场
  • 买球地址
  • 搜索留痕
  • 搜索留痕程序出售
  • 谷歌蜘蛛池排名技术
  • 留痕程序
  • 如何提高google搜索排名
  • 数字币博彩
  • 洗钱方法
  • Google留痕收录
  • 最新谷歌搜索留痕排名
  • 搜索留痕
  • Google留痕收录
  • google搜索留痕
  • 数字币博彩网站
  • 足球投注平台
  • 博彩推广话术
  • 推广引流方法
  • 引流方法
  • 博彩推广话术
  • 网上博彩推广引流
  • 数字币赌场
  • 皇冠现金网
  • 蜘蛛池排名
  • 谷歌蜘蛛池
  • 留痕程序出售
  • google搜索留痕程序
  • 比特币网上赌场
  • 洗钱平台
  • 搜索留痕
  • 博彩推广方式
  • 网上博彩推广
  • 快速排名
  • 搜索留痕程序
  • bbin平台大全
  • 体育博彩公司排名
  • 留痕排名技术
  • 最新谷歌关键词排名
  • 推广渠道
  • 谷歌快速排名
  • 博彩推广
  • 世界杯赌球地址
  • 皇冠博彩公司
  • 谷歌排名出售
  • 博彩引流渠道
  • 搜索留痕程序
  • google搜索留痕
  • 引流渠道
  • 果敢网上赌场
  • 世界杯赌球
  • 搜索留痕方法
  • 博彩搜索留痕
  • 博彩引流
  • 博彩引流
  • 搜索留痕
  • 缅甸网上赌场
  • 欧洲杯赌球
  • 谷歌搜索排名
  • 留痕程序
  • 网上博彩推广引流
  • 留痕技术
  • 搜索留痕技术出售
  • 澳门威尼斯人网上赌场
  • 外围博彩
  • 博彩网站推广
  • 推广引流
  • 留痕程序出售
  • 谷歌推广引流技术
  • 推广引流方法
  • 美国在线赌场
  • 沙巴体育投注平台
  • 最新谷歌搜索留痕
  • 谷歌蜘蛛池排名技术
  • 网站推广方法
  • 留痕程序出售
  • 博彩推广方法
  • 菠菜论坛
  • 买球平台
  • 谷歌搜索留痕
  • 蜘蛛池排名
  • 博彩公司推广渠道
  • 谷歌搜索留痕
  • 博彩公司推广渠道
  • 真钱游戏
  • 网上赌球地址
  • 赌球平台推荐
  • 赌球网址
  • 博彩包网
  • 买球app
  • 澳门博彩公司
  • 威尼斯人赌场
  • 博彩平台推荐
  • 美国博彩网站
  • 缅甸实体赌场
  • 柬埔寨网上赌场
  • 柬埔寨在线赌场
  • 韩国博彩
  • 支持人民币的博彩公司
  • 世界五大比特币交易所
  • 欧易是哪个国家的
  • 中币跑路
  • 亚洲博彩公司
  • 合法网上赌场
  • 马尼拉赌场
  • 支持人民币的博彩公司
  • 大陆博彩平台
  • 澳门新葡京娱乐城
  • 老挝赌场
  • 世界赌场排名
  • 网上博彩公司排行
  • 菠菜论坛
  • 东南亚赌博网站
  • 虚拟币博彩
  • 澳门百家乐网址
  • 网上博彩导航
  • 区块链百家乐游戏
  • 马来西亚博彩公司
  • 越南赌场
  • 区块链百家乐
  • 香港娱乐场
  • 澳大利亚赌博网站
  • 足球赔率
  • 菲律宾网上赌场
  • 数字币博彩网站
  • 足球投注网站
  • 百家乐论坛
  • 皇冠体育博彩公司
  • 网上赌博网站
  • 网上博彩推广话术
  • 谷歌搜索快速方法
  • 网上博彩推广话术
  • 数字币赌场
  • 皇冠博彩公司
  • 世界杯博彩公司
  • 英国博彩公司
  • 网上博彩合法化
  • 新加坡赌场
  • 比特币网上赌场
  • 怎么洗钱
  • 加密货币博彩平台
  • 世界杯赌球网址
  • 网上赌球地址
  • 博彩推广方式
  • 印度尼西亚博彩公司
  • 国际包网
  • bbin平台直营
  • 亚洲体育博彩平台
  • 越南博彩公司
  • 百家乐路单
  • 澳门博彩官网
  • 博彩网推荐
  • 澳门太阳城网址
  • 百家乐网址
  • 世界杯赌球网址
  • 皇冠博彩网址
  • 洗钱方法
  • 买球网站
  • 欧洲杯赌球平台
  • 皇冠现金网
  • 外围赌球平台
  • 果敢赌场
  • 买球技巧
  • 全球最大博彩公司
  • 电子游艺
  • 真人电子游戏
  • 骰宝游戏规则
  • 亚洲体育博彩平台
  • 澳门在线赌场
  • 缅甸赌场地址
  • 赌球平台
  • 赌场如何赢钱
  • 世界杯买球网站
  • 真人牌九游戏
  • 世界杯买球官网
  • 时时彩平台
  • 六合彩预测
  • 威尼斯人网上赌场
  • 外围赌球网站
  • 赌博网址
  • 彩票群
  • 微信赌博群
  • 韩国首尔赌场
  • 赌钱游戏
  • 美国网上赌场
  • bbin官网
  • 沙巴体育官网
  • 博彩平台推荐
  • 数字币博彩网站
  • 比特币网上赌场
  • 世界赌场名单
  • 美国赌场攻略
  • 菠菜论坛排名
  • 菠菜论坛排名
  • 缅甸网上赌场
  • 支持人民币的博彩公司