这篇文章将介绍APT组织拉撒路(Lazarus)使用的两款恶意软件,并进行详细分析。...原文标题:Malware Used by Lazarus after Network Intrusion 原文链接:https://blogs.jpcert.or.jp/en/2020/08/Lazarus-malware.html...它以 .drv 文件的形式保存在 C:\Windows\System32 文件夹中,并作为服务运行。使用VMProtect将其混淆,文件末尾包含一些不必要的数据,使文件大小增加到约150MB。...(详见附录A) 3.混淆(Obfuscation) 恶意软件中的所有字符串均使用AES128加密,加密密钥被硬编码在恶意软件中。...但是,已知它们也使用其他类型的恶意软件。如果发现任何新型恶意软件,我们将提供更新。 三.总结 Lazarus APT是来自朝鲜的APT组织,挺厉害和出名的一个攻击组织。
随着Delphi2009(Tiburn)的发布,Indy团队已经将for FPC的版本合并到for Win32的版本中,Lazarus就此获得了最新Indy版本的支持。...下面我们就将一步一步来探讨Indy在Lazarus0.9.26中的安装方法。 ...要在Lazarus中安装最新的Indy,首先我们必须获取其最新的代码,由于现在Indy的代码使用SVN作为版本控制软件,所以我们必须先安装SVN客户端的软件。...具体操作步骤: 1、建立存放源码的文件夹。 2、在刚刚新建的文件夹上右击鼠标,选择“SVN Checkout”。...下一篇文章将讲述如何将获取的代码重新组织以供Lazarus使用。
PowerRatankba Downloader 在本节中,我们将详细介绍攻击者实现PowerRatankba部署运行的不同入侵途径和行为,总的来说,我们发现了攻击者使用的6种不同入侵向量: 一种名为...PowerSpritz的新型Windows执行程序; 一种恶意Windows快捷方式LNK文件; 使用两种不同的技术的多个恶意HTML帮文件助(CHM); 多个JavaScript(JS)下载程序; 两个基于宏的...获取Payload: 恶意HTML帮助文件(CHM) 据我们数据发现,在10月、11月和12月期间,受害者曾将多个恶意CHM文件上传到了多家防病毒扫描服务中,这些恶意CHM文件包括...appView.js保存到受害者的系统启动开始菜单中,每当受害者帐户登录系统时,该文件就会自动执行。...之后,Lazarus Group又进行了改进升级,使用了独特的 Spritz-xor加密方式。
,该黑客将恶意代码隐藏在位图(. bmp)图像文件中,从而投放了一个能够窃取敏感信息的远程木马(RAT)。...然后,它使用RC4算法解密嵌入的有效载荷,将其保存为.xml扩展名,并在当前目录中随机创建5个字符的文件名,再将其复制到system文件夹中,并使用.sys扩展名。...接下来,攻击者使用root特权帐户登录Web界面。目前还不清楚攻击者如何获得该帐户的凭据,但是凭据可能保存在受感染系统的浏览器密码管理器之一中。...有效负载将打开给定文件(在本示例中为%APPDATA% \ Comms \ cab59.tmp),并开始将其分发到远程服务器。...当恶意软件将数据上传到C2服务器时,它使用HTTP POST请求,并带有两个名为’fr’和’fp’的参数: fr参数包含要上传的命令行参数中的文件名 fp参数包含base64编码的大小,内容的CRC32
为了说服目标允许恶意宏,攻击者发送了另一封电子邮件,显示了如何在Microsoft Office中启用宏。...然后,使用RC4算法解密嵌入的payload,将其保存到当前目录中具有随机创建的五个字符文件名的.xml扩展名中,并将其复制到具有.sys扩展名的系统文件夹中。...接下来,攻击者使用特权根帐户登录Web界面。尚不清楚攻击者如何获得该帐户的凭据,但凭据可能保存在受感染系统的浏览器密码管理器之一中。...当恶意软件将数据上传到C2服务器时,它使用HTTP POST请求,并带有两个名为'fr'和'fp'的参数: “ fr”参数包含要上传的命令行参数中的文件名。...以前Lazarus曾在针对加密货币企业时利用了此攻击中使用的ThreatNeedle恶意软件,目前Lazarus正在积极地将ThreatNeedle恶意软件用于网络间谍攻击。
图1 ---- 什么样的网格可以做UV展开 那是不是所有的网格都可以做UV展开呢?答案是否定的。只有圆盘拓扑结构的网格才能展开到平面上,比如一个球,无论如何都不可能在不撕裂的情况下展开到平面。...图2 ---- UV展开的扭曲程度 网格展开到平面区域,除了可展曲面,其它曲面在展开后都会产生一些扭曲。一般有两种扭曲。一种是曲面本身的几何所决定的,比如球面展开到平面,一定会产生扭曲。...另一种是展开算法中的约束产生的扭曲,比如固定边界的UV展开。一种直观的观察展开扭曲程度的方式是,把一张棋盘格图片贴到网格上,棋盘格越均匀,UV展开扭曲越小。...一般这类的UV展开,都是使用的顶点纹理坐标的概念。 任意网格的UV展开:如图2情况所示。这种情况下,缝隙处的顶点和纹理坐标是一对多的关系。可以把纹理坐标存在三角形内。...如果需要减少存储空间,也可以把纹理坐标存成一个数组(纹理坐标都不相等),然后每个三角形存纹理坐标的索引,类似OBJ的文件格式。 ---- 网格割缝和纹理坐标缝隙的区别 这是两个不同的概念。
但是,相似之处还不止于此:在网络通信中使用伪造的TLS、命令行执行链以及使用加密和Tor服务的方式都指向Lazarus。因此,ESET研究人员可以将Vyveva视为Lazarus新的恶意软件产品。...将嵌入的默认后门配置存储在注册表中 前一项任务可以理解为创建看起来合法的服务,为了达到这一目标,Vyveva Installer的属性(例如服务名称和显示名称)是使用现有服务的属性中的单词组合而成的,这些单词是随机选择的...它们中的大多数是用于文件和进程操作或信息收集的普通命令,但是对于文件时间戳记也存在一种较不常用的命令,它可以将creation/write/access time元数据从“donor”文件复制到目标文件...0x16 创建指定的流程 0x17 获取有关正在运行的进程的信息– PID,PPID,可执行文件路径 0x18 通过PID或可执行文件路径终止进程 0x19 使用重定向的输出创建进程并上载输出该命令使用格式字符串...所述encrypted_cncs字段是一个加密的字符串,其包含以分号分隔的C2s中。 Vyveva使用基于官方Tor源代码的Tor库与从配置中随机选择的C2服务器进行通信。
技术细节 下载器将pe文件加密并嵌入数据段且不会在正常执行中运行,解密是可执行开始于start()和winmain()函数之间的patch。恶意软件作者将恶意代码嵌入到一个无害的可执行二进制文件中。...下面是找到的各种dtrack中可执行文件功能列表: 1、键盘记录, 2、浏览器历史记录, 3、收集主机IP地址、网络连接的信息, 4、列出所有正在运行的进程, 5、列出所有可用磁盘卷上的所有文件。...其中一些可执行文件将收集到的数据打包加密保存到磁盘,而另一些则直接将数据发送到C&C服务器。 除了上述可执行文件外,下载器中还包含远程访问木马。...其中最常见的功能是字符串操作功能:在参数字符串的开头是否存在CCSI子串,将其截断后返回子串;否则,它使用第一个字节作为XOR参数,并返回一个解密的字符串。 ?...可以确定是Lazarus组织武器库中的的另一个家族。 我们能够找到的大量Dtrack样本表明,Lazarus组是恶意软件开发中最活跃的APT组之一。他们快速开发恶意软件并扩展功能。
弹性子元素:使用flex属性使子元素在弹性容器中调整其占用空间。 顺序控制: 使用order属性让子元素在弹性容器中调整其位置。...这样可以轻松地将中间内容区域和左右侧边栏按表格的方式排列,使其具有相同的高度,并且可以通过设置固定宽度来控制侧边栏的宽度。 表格容器:使用display: table将容器设为表格布局。...表格单元格:使用display: table-cell将子元素设为表格单元格,使其按表格的方式排列。 固定宽度:为左右侧边栏设置固定宽度,为中间内容区域设置自适应宽度。...网格模板:使用grid-template-columns定义网格列的大小和数量。 自动布局:自动将子元素按网格排列。...每个列表项具有相同的宽度和高度,并且通过网格间隙来设置列间距和行间距。 网格容器:使用display: grid将容器设为网格布局。
android:layout_span="3"表示合并3个单元格,就是这个组件将占据3个单元格。...为什么 XML 资源文件要从文本格式编译成二进制格式 // 主要基于以下 两点原因: 空间占用更小:因为所有 XML 元素的标签、属性名称、属性值和内容所涉及到的字符串都会被统一收集到一个字符串资源池中...有了这个字符串资源池,原来使用字符串的地方就会被替换成一个索引到字符串资源池的整数值,从而可以减少文件的大小。 解析效率更高:二进制格式的 XML 文件解析速度更快。...Android 资源管理框架又是如何快速定位到最匹配资源的 // 主要基于两个文件: 资源 ID 文件 R.java:赋予每一个非 assets 资源一个 ID 值,这些 ID 值以常量的形式定义在...R.java 文件中。
PowerRatankba 使用的加密、混淆、功能、引诱物都跟 Lazarus 黑客组织所开发的原始 Ratankba 植入类似。...CHM 文件 多个 JavaScript (JS) 下载器 PowerRatankba至少有两个在野变体,它作为第一阶段的恶意软件仅向对密币感兴趣的目标公司、组织机构和个人传播功能完整的后门(在这个案例中是...值得注意的是,PowerRatankba 和 Gh0st RAT 并不会利用任何 0day 漏洞,但 Lazarus 黑客组织依靠混合编程实践如经由 HTTP 的C&C 通信、使用 Spritz 加密算法和启用...密币价值的爆炸性增长激发的不仅是交易人员将所有时间和资源投入到数字财富中,黑客也在盯着这块肥肉。...研究人员在名为《朝鲜被比特币 bug 咬了一口:受经济利益驱动的攻击活动披露Lazarus 黑客组织的另一面》的报告中详细说明了该黑客组织的行动。
注意:在没有使用令牌选项时,/F 将仅检查第一个令牌。 文件解析过程包括读取输出、字符串或文件内容、分成独立的文本行及然后将每行解析成零个或更多个令牌。...usebackq 指定可以使用引号引用 filenameset 中的文件名称,将后面带有引号的字符串作为一个命令执行,而带有单引号的字符串是文字字符串命令。...%~xI 只将 %I 展开到文件扩展名。 %~sI 展开路径以只包含短名称。 %~aI 将 %I 展开到文件的文件属性。 %~tI 将 %I 展开到文件的日期和时间。...%~fsI 将 %I 展开到只包含短名称的完整路径名。 %~dp$PATH:I 在 PATH 环境变量中所列出的目录中搜索 %I,并展开到第一个找到结果的驱动器号和路径。...如果您提供的文件名包含空格,请使用引号将文本引起来(例如,”File Name”)。要使用引号,必须使用 usebackq。否则,就将引号解释为定义要解析的文字字符串。
06_Qbao_Network.html "时,Winrar会比较存档中的所有文件以查找与"Screenshot_2023_09_06_Qbao_Network.html "同名的文件/目录,根据Winrar...“Screenshot_2023_09_06_Qbao_Network.html .exe”文件名中“html”与“.exe”中间存在特意构造的空格,在进行路径分割时文件名解析为“Screenshot_...2023_09_06_Qbao_Network.html”,因此把"Screenshot_2023_09_06_Qbao_Network.html .exe"文件放入提取列表中。...从e9f0dkd.c1[.]biz服务端下载后续载荷: 下载载荷后,将硬编码的字符串解base64后写入%temp%\temp.bat并运行。.../c tasklist”,并将数据保存到%temp%目录下: 将获取的数据使用makecab进行打包: 将数据aes加密后上传到服务端,服务端返回“success!”
并且,它提供了所有必要的CSS资源,只需在HTML模板中包含“css/ get-shit-done.css”即可使用。 2. Shards Dashboard Lite React ?...免费下载 Bootstrap-ecommerce ui kit是一个开源工具包工具包, 其HTML,CSS和JS技术允许将这个工具包适用于电子商务网站,市场营销和产品预订网站的开发。...免费下载 这款着陆页模板提供了完整或半页的简介,CTA按钮,表格和许多其他重要组件。包含400多个素材UI元素,600多个素材图标,74个CSS动画,SASS文件,模板,教程等。 5....免费下载 Material Admin是完全使用Bootstrap框架构建的免费管理模板,提供按钮、图标、表格、排版等基础组件。...希望你能从这些免费的Bootstrap模板中获取灵感,并在下一个设计项目中使用起来。 相关阅读: 想让网站销量爆涨?
自2018年以来,Lazarus便持续瞄准加密货币相关业务,使用与加密货币业务相关的恶意Word文档和主题来吸引潜在目标。如果目标打开文档并启用宏,则恶意脚本将提取嵌入的下载程序并使用特定参数加载它。...Lazarus还在其武器化文件中使用了远程模板注入技术,以及利用木马化的开源PDF查看器软件来完善其感染链。...威胁行为者使用此恶意软件植入额外的有效载荷,包括用于侧加载目的的合法文件。 2022年7月,Lazarus成功入侵了非洲的一家国防承包商。...Lazarus在各种活动中多次使用这种恶意软件;并且还使用相同的DLL侧加载技术来植入能够后门操作的额外恶意软件。为了跨系统横向移动,攻击者还使用了一种名为ServiceMove的有趣技术。...该恶意文件伪装成一份合法的通告,旨在收集巴基斯坦政府授职官员的信息,使用远程模板注入技术利用Follina漏洞下载恶意HTML页面。
用户在设计器中进行更改后,只需单击一下,就可以使用修改后的Angular标记更新原始HTML文件。...在我们的示例中,操作是在单独的选项卡中打开设计图面,并使用 Angular标记提供的上下文,以及源文件中该标记的位置。 现在单击链接以在相邻选项卡中打开设计器。...例如,如果将allowResizing属性的值从Columns更改为None,则网格渲染中没有视觉差异,因为这是运行时行为设置。...要返回FlexGrid表格控件的设置,请单击“属性”窗格中的“后退”按钮。 如果对设计器中所做的更改感到满意,请单击WijmoJS 徽标下方的“保存”按钮以更新原始源文件的编辑器并将其重点关注。...单击axisY属性的齿轮图标,然后将format属性设置为字符串c0,表示零小数位的货币值。 单击“属性”窗格中的“后退”按钮以返回FlexChart的设置。
解答: onChange() 3.如何用js判断字符串中包含某一子串?...解答: 使用indexOf() 如果存在则返回位置,不存在则返回 -1 4.有表达式 [1<2<3,3<2<1] , 运行后结果是多少? 解答: [true,true] ?...image.png 因为首先3<2为false,然后false<1 即为 0<1,所以为true 5.一个没有经过任何css样式修饰的html文件,1rem等于多少px?...(元素的 display为 table-cell,HTML表格单元格默认为该值) 表格标题(元素的 display 为 table-caption,HTML表格标题默认为该值) 匿名表格单元格元素(元素的...valdef-display-flow-root) 的元素 contain 值为 layout、content或 strict 的元素 弹性元素(display为 flex 或 inline-flex元素的直接子元素) 网格元素
负载加载到内存中时,它使用给定的解密密钥对配置信息进行解密。配置包括C2服务器地址,以及文件路径。该配置指定了两个C2服务器,为同一个C2服务器。C2地址: ?...例如,82UKx3vnjQ791PL2@29312663988969 恶意软件将生成的标识符编码为base64发送到C2。最后,代理从C2服务器获取有效负载,并将其直接加载到内存中。...恶意软件将信息存储在第二个参数中(本例中为c:\programdata\oracle~TMP739.TMP)。此日志文件包含时间戳和有关感染过程的信息,攻击者会使用Windows命令手动检查此文件。...感染阶段 Lazarus使用Bookcode的活动有其独特的TTP,在这次攻击中使用了相同的手法。...C2脚本还具有其他功能,例如更新下一阶段C2服务器地址、将植入的标识符发送到下一阶段服务器或删除日志文件。 ? 归属分析 根据之前的研究,这两起事件中使用的恶意软件归属于Lazarus。
f.write(string) 将 string 写入到文件中, 然后返回写入的字符数。如果要写入一些不是字符串的东西, 那么将需要先进行转换。...格式文件转换为csv格式文件,使用iat方法 StartName: excel表格的文件路径 SheetNmae: excel表格中的表格名称 EndName: csv文件的保存路径...格式文件转换为csv格式文件,使用replace方法 StartName: excel表格的文件路径 SheetNmae: excel表格中的表格名称 EndName: csv...HTML文件是由HTML命令组成的描述性文本,HTML命令可以说明文字、图形、动画、声音、表格、链接等。...让我们看看如何将csv转化为html吧 源代码如下 # -*- coding: utf-8 -*- """ Spyder Editor This is a temporary script file.
主打方向:Vue、SpringBoot、微信小程序 本文讲解了 XML 的概念,以及 Java 中 XML 和字符串的转换方法,并给出了样例代码。...它可以将文本、图像、表格等结构化数据组织起来,并保留其层次结构和语义信息。 RSS 和 Atom 订阅:XML格式常用于发布和订阅内容的 RSS 和 Atom 协议。...表示数据结构:XML 格式可用于表示和传输各种结构化数据,如电子表格、数据库表结构、企业应用程序集成中的数据映射等。...在 Java 中,如何使用 DOM 解析 XML 文件? 在 Java 中,如何使用 SAX 解析 XML 文件? 在 Java 中,如何使用 XPath 解析 XML 文档?...---- 六、总结 本文讲解了 XML 的概念,以及 Java 中 XML 和字符串的转换方法,并给出了样例代码,在下一篇博客中,将讲解 Java 中如何使用 JDBC 连接 MySQL数据库。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
云直播
对象存储
实时音视频
