祝同行1024节,身体健康,远离疾病,少加班,多运动。
1、近期针对土耳其和叙利亚的Promethium活动分析
恶意软件名:Promethium
别名:StrongPity
时间:2018.5到8月
主要:更新了武器,新增叙利亚目标
新释放的文件名和路径
%windows%\system32\IpeOve32.exe
%temp%\ AC315BA-864X-64AA-C23B-C3DDC042AB2\evntwn32.xml
%temp%\AC315BA-864X-64AA-C23B-C3DDC042AB2\mscorw32.xml
%windows%\system32\netplviz.exe
利用powershell尝试通过排除系统和临时目录以及关闭样本提交和禁用行为监视来更改Windows 10系统上Windows Defender的默认行为。
powershell.exe Set-MpPreference -ExclusionPath 'C:\Windows\System32', 'C:\Windows\SysWOW64', 'C:\DOCUME~1\~1\LOCALS~1\Temp' -MAPSReporting 0 -DisableBehaviorMonitoring 1 -SubmitSamplesConsent 2
http post 请求
user-agent 固定
Edge/ 8.0(Windows NT [操作系统版本号] ; Win [32或64]; [处理器架构]
content-type还重复了,edge浏览器的标准也不对
相关链接:
https://threatvector.cylance.com/en_us/home/whack-a-mole-the-impact-of-threat-intelligence-on-adversaries.html
该活动的相关链接
a.
针对意大利和比利时加密用户的StrongPity水潭攻击。https://securelist.com/on-the-strongpity-waterhole-attacks-targeting-italian-and-belgian-encryption-users/76147/
b.
StrongPity2间谍软件取代了MitM活动中的FinFisher
https://www.welivesecurity.com/2017/09/21/new-finfisher-surveillance-campaigns/
c.
在土耳其部署政府间谍软件并影响埃及用户
https://citizenlab.ca/2018/03/bad-traffic-sandvines-packetlogic-devices-deploy-government-spyware-turkey-syria/
d.
双0day攻击:PROMETHIUM和NEODYMIUM的欧洲
http://download.microsoft.com/download/E/B/0/EB0F50CC-989C-4B66-B7F6-68CD3DC90DE3/Microsoft_Security_Intelligence_Report_Volume_21_English.pdf
2、
一次lazarus的钓鱼文档的完整简单分析,最后释放的是Manuscrypt
3、
使用sload分发ramnit,针对英国和意大利用户
https://www.proofpoint.com/us/threat-insight/post/sload-and-ramnit-pairing-sustained-campaigns-against-uk-and-italy
4、
ZombieboyMiner(僵尸男孩矿工),挖矿团伙
5、
各类安卓银行木马在google paly上安居落户,ioc信息挺多
https://www.welivesecurity.com/2018/10/24/banking-trojans-continue-surface-google-play/
假信息
检测android模拟器的功能代码
领取专属 10元无门槛券
私享最新 技术干货