安信与诚-威胁月报上（7月份）

冲器相似，通过XOR机密文件，航天缓冲器从前面开始的每个寄存缓冲器都移动至在此之前一个寄存缓冲器。

在深入研究同第一版采样过程中会发掘出有并用服务重启Mimikatz机密文件的配置，服务名为PCAudit，据信机密文件后的资料为航天缓冲器变量中会本地将要上载的档案，后来披露的NukeSped缓冲缓冲器也存在并用Mimikatz机密文件的配置。

5.4 总结

APT-C-26（Lazarus）该组织本次袭击目的明确，袭击技术手段隐蔽性强，CCompanyC与上载逆时针仅以变量方式传送，并且更进一步航天缓冲器不落地，显然在内存中会运行。本次袭击军事行动第一远距离是以搜集有用电子邮件有别于，在启动全面性电子邮件搜集工作启动后不回避有特别更进一步军事行动，需要导致更多重视。

5.5 IOC

MD5

b25f1917d45fd0db2c82feb239b9e69e

F96C39248A93E1248C623F991C5DD8AA

URL

[.]org/public/photos/image/image.asp

[.]kr/html/notice/list.asp

31.11.32[.]79:80

59.30.197[.]202:443

六、时则冲击Linux系统对的袭击政治事件深入研究报告

6.1 概要

近日，研究人员监测到一起针对Linux系统对的冲击性袭击娱乐活动。欺诈字符在系统对星期2022年6月初20日0时后来系统会冲击功能性，导致了染病的客户端因系统对难以较长星期重启而感知到了欺诈字符的存在。

该采样按原计划后，会将curl、top等系统对命令抓捕为欺诈字符，并创始人原计划目标，做到持续性化时于大。时则条件系统会后，采样会尝试撤下root帐户、冲击重启硬盘、系统对引导档案和Linux软件包，使系统对难以较长星期重启，然后撤下系统对中会的特定档案，冲击企业系统对环境，最后清除摘要，抹除痕迹。由于大部分Linux系统对没启动有效地防护，使欺诈字符仍然潜伏在系统对中会而没能及时发掘出。

根据采样字符中会显现出来的汉字正则表达式具体内容，据信本次袭击的远距离为国内人员。入侵者自称是“同光黑客该组织”，但通过区别并没发掘出与该该组织特别的其它电子邮件，同时相辅相成字符中会的释义“fake information”（欺诈电子邮件）及表达式本体，判别断定这段书写是入侵者假冒的，目的是转移视线，暗示入侵者的真实身份。

6.2 采样深入研究

本次军事行动中会，入侵者对受害者机缓冲器转移了9个采样，其中会包含1个将系统对指示替换成成其它采样的迷惑缓冲器采样和8个按原计划欺诈功能性的冲击型采样。

迷惑缓冲器深入研究

Ø 采样附加

病毒地名

Trojan/Linux.Dropper

原始档案名

rep

MD5

处理缓冲器架构

Advanced Micro Devices X86-64

档案不等

11.88 KB (12,160寄存缓冲器)

JPEG

ELF

星期砍

无

数字签名

无

加壳类型

无

编译语言

C/C++

VT首次上载星期

2022-06-26 04:46:32 UTC

VT检测结果

7/55

Ø 详细深入研究

迷惑缓冲器和冲击型采样被同时转移到系统对中会。迷惑缓冲器按原计划后由南向北重写各个冲击型采样，将系统对指示分别替换成对应的采样，以替换成sort指示的采样为例：迷惑缓冲器用sort指示替换成grub2-mkimage指示，便使用欺诈字符替换成sort指示，翻倍做到持续性化时的目的。在按原计划sort指示时，系统对将在按原计划欺诈字符时较长星期转换成，用以迷惑客户端。

采样MD5

被替换成的系统对指示

被替换成的grub2工具集指示

3ECC6A14AB062BA2C459A49CCC6DA6CA

sort

grub2-mkimage

scp

grub2-mkrescue

FE31F69BFC3CBA3E3148E0828A28AFB7

nmcli

grub2-render-label

CFF44FD00A926C112EA30CB8E2F1C7D8

du

grub2--check

56FC7CE52006F41E72255ED24E4CAA75

df

grub2-fstest

B8A94EBD8A7F1EEA8969D0FD4F88335D

curl

grub2-mknetdir

AE0FF4BB866B2FD03D7019E2251AC24F

top

grub2-mkpasswd-pbkdf2

C1D496BE65D18BABF1252DF8CCF95660

find

grub2-mkstandalone

冲击型采样深入研究

Ø 采样附加

病毒地名

Trojan/Linux.Dropper

原始档案名

abs

MD5

C1D496BE65D18BABF1252DF8CCF95660

处理缓冲器架构

Advanced Micro Devices X86-64

档案不等

526.25 KB (538,880寄存缓冲器)

JPEG

ELF

星期砍

无

数字签名

无

加壳类型

无

编译语言

C/C++

VT首次上载星期

2022-06-23 08:43:19 UTC

VT检测结果

21/60

Ø 详细深入研究

为了规避软件的检测，入侵者并用Ubuntu误用缓冲器将制作者编译成可按原计划档案，做到在内存中会动态按原计划制作者。

当客户端按原计划系统对指示时，确实按原计划的为冲击型采样。采样按原计划后，启动时grub2工具集的指示，此时确实按原计划的为系统对指示。通过转换成系统对指示按原计划的结果，将采样迷惑成系统对较长星期程序，使受害者放松警惕。

创始人原计划目标，每月初按原计划一次欺诈字符。

判别按原计划星期晚于2022年6月初20日0时，系统会冲击蓄意。

入侵者在时则系统会的细化，减低了提在此之前系统会的功能性。入侵者只需要便次转移采样并按原计划迷惑缓冲器，就会将grub2工具集指示便次替换成为top等指示，而这些指示已在第一次按原计划时被替换成为欺诈字符，因此最后grub2工具集被替换成为欺诈字符。当受害者按原计划系统对指示时，档案名为grub2工具集指示的欺诈字符重启，立即系统会冲击蓄意，不受在此之前面写到的日期仅限。

遍历各软件的摘要第一版并将摘要撤下。

尝试将密码本“nofairsodestoryrebuild”重写客户端root的密码本本中会。后来将root帐户撤下。

通过um**nt、ls**k等指示强制备用撤下重启硬盘，并撤下/boot第一版下的引导档案和软件包档案。档案撤下后，重新重启计算机将难以进入系统对。

撤下/etc档案夹下所有地名匹配*con*的档案，导致了系统对中会软件的配置档案缺失，导致进一步的冲击。

采样将预设的中会文具体内容转换成到写明上会中会。相辅相成字符中会的释义“fake information”（欺诈电子邮件）及表达式本体判别，这段不完整的正则表达式确实是假冒和拼接的。通过区别，并没发掘出与“同光黑客该组织”特别的其它电子邮件，可确定这段书写是入侵者假冒的，目的是转移视线，暗示入侵者的真实身份。

在本次捕捉到的采样中会发掘出多处字符改写错误，具体如下：

1. 入侵者意图向root帐户中会重写密码本，但是变量设立错误。在下文的指示中会撤下了root帐户，间接导致了了重写的密码本受控；

2. 入侵者替换成了find指示，在按原计划制作者中会的find指示时导致阻塞循环，导致了更进一步指示难以按原计划；

3. 当入侵者在2022年6月初20日后来系统会欺诈字符时，grub2工具也被替换成为欺诈字符。由于制作者改写犯规，此条件被系统会后将循环按原计划欺诈字符，导致了系统对资源被耗尽。

关于本袭击政治事件的背后逻辑推演：

1. 根据采样字符中会显现出来的汉字正则表达式具体内容，据信本次袭击的远距离为国内人员；

2. 在本次捕捉到的采样中会没发掘出横向移动、窃密回传等配置，据信入侵者以冲击系统对较长星期运蓄意目的。相辅相成时则系统会，据信袭击在系统会政治事件后来早已开始，入侵者通过时则系统会的手段，在系统会星期后来手动染病如此一来多的PS，以导致更大的冲击效用。

3. 采样中会大量的逻辑错误指出入侵者水平不高，航天缓冲器尚能不成熟。

6.3 总结

本次捕捉到的采样将系统对命令抓捕为欺诈字符，并创始人原计划目标做到持续性化时，时则系统会冲击功能性，导致了系统对难以重启并冲击企业系统对资料，对资料确保安全显现出极大严重威胁。由于目在此之前没得到到更多的上下游电子邮件，难以对入侵者的入侵手段启动判断。因此，建议客户端做好常规的终端确保安全防护工作，安装终端威慑软件，同时将不可忽视资料在异地、多地启动确保安全备份，作为资料确保安全的高明保障。

6.4 IOCs

3ECC6A14AB062BA2C459A49CCC6DA6CA

FE31F69BFC3CBA3E3148E0828A28AFB7

CFF44FD00A926C112EA30CB8E2F1C7D8

56FC7CE52006F41E72255ED24E4CAA75

B8A94EBD8A7F1EEA8969D0FD4F88335D

AE0FF4BB866B2FD03D7019E2251AC24F

C1D496BE65D18BABF1252DF8CCF95660

。

肚子痛拉肚子怎么办
小儿咽炎吃再林阿莫西林颗粒有用吗
宝宝积食可以吃什么
导致肺纤维化的原因
小孩不爱吃饭怎么办
远大医药
湿气重怎么调理
999消痔软膏治疗内痔有用吗
视疲劳滴眼药水好用吗
缓解视疲劳最好的眼药水