apache rat

文章目录 11.6. APT 11.6.1. 简介 11.6.2. 高级性（Advanced） 11.6.3. 持续性（Persistent） 11.6.3.1. 侦查阶段 11.6.3.2. 初次入侵阶段 11.6.3.3. 权限提升阶段 11.6.3.4. 保持访问阶段 11.6.3.5. 横向扩展阶段 11.6.3.6. 攻击收益阶段 11.6.4. 威胁性（Threat） 11.6.5. IoC 11.6.6. 参考链接 11.6. APT 11.6.1. 简介 APT (Advanced Persistent Threat)，翻译为高级持续威胁。2006年，APT攻击的概念被正式提出，用来描述从20世纪90年代末到21世纪初在美国军事和政府网络中发现的隐蔽且持续的网络攻击。 APT攻击多用于指利用互联网进行网络间谍活动，其目标大多是获取高价值的敏感情报或者控制目标系统，对目标系统有着非常严重的威胁。 发起APT攻击的通常是一个组织，其团体是一个既有能力也有意向持续而有效地进行攻击的实体。个人或者小团体发起的攻击一般不会被称为APT，因为即使其团体有意图攻击特定目标，也很少拥有先进和持久的资源来完成相应的攻击行为。 APT的攻击手段通常包括供应链攻击、社会工程学攻击、零日攻击和僵尸网络等多种方式。其基于这些攻击手段将将自定义的恶意代码放置在一台或多台计算机上执行特定的任务

原文链接： Against U.S. Utilities Sector Returns with New Malware 译者：知道创宇404实验室翻译组 去年8月，Proofpoint研究人员发现LookBack恶意软件在该年7月至8月间针对美国公用事业部门发起了网络攻击。通过分析8月21日至29发起的活动发现，这些攻击活动还利用恶意宏向美国各地的攻击目标发送恶意软件。与此同时，研究人员还发现了一个全新的恶意软件家族FlowCloud，这个家族也被交付给了美国的公用事业提供商。 像LookBack这样的FlowCloud恶意软件可以使攻击者完全控制受感染的系统。它的远程访问木马（RAT）功能包括访问已安装的应用程序、键盘、鼠标、屏幕、文件和服务进程，并通过这些命令控制来泄露信息。 通过观察2019年7月至11月间的网络钓鱼活动，基于威胁参与者使用共享附件宏、恶意软件安装技术和重叠交付基础结构我们可以确定LookBack和FlowCloud恶意软件都归因于我们称为TA410的威胁参与者。 此外，我们还发现TA410和TA429（APT10）之间的相似之处。具体来讲，他们之间有共同的附件宏，而且2019年11月检测到的TA410活动中还包括网络钓鱼附件传递宏中使用的与TA429（APT10）相关的基础结构。但是，Proofpoint分析师认为，黑客们可能是在故意使用TA429

日本大阪--(美国商业资讯)--2020年6月30日，松下公司(Panasonic Corporation)宣布，该公司在德国设计委员会(Rat für Formgebung)举办的 2020年德国汽车品牌大赛 (Automotive Brand Contest 2020)上斩获品牌设计类“至尊奖”(Best of Best)最高殊荣。该奖项表彰松下汽车业务品牌的概念和设计。官方颁奖仪式计划于2020年秋季举行。 此新闻稿包含多媒体内容。完整新闻稿可在以下网址查阅： https://www.businesswire.com/news/home/20200629005891/en/ 德国汽车品牌大赛是唯一的国际性汽车品牌设计大赛。成立于1953年的德国设计委员会还运营多个国际知名的设计奖，例如德国设计奖(German Design Award)和标志性设计奖(ICONIC Awards)。 德国汽车品牌大赛涵盖全球汽车行业从车辆设计到企业发布的所有创意层面。本年度获奖者还包括奥迪(Audi)、宝马(BMW)、别克(Buick)、拜腾、德国大陆(Continental)、梅赛德斯-奔驰(Mercedes-Benz)、保时捷(Porsche)和大众(Volkswagen)等全球知名品牌。松下是2011年开始举办的这项大赛历史上首家获得“至尊奖”的日本汽车供应商。

原文： Spam campaign: Netwire RAT via paste.ee and MS Excel to German users 译者：知道创宇404实验室翻译组 G DATA发现了在德国的垃圾邮件活动，它通过PowerShell在Excel文档中传递NetWire RAT恶意软件。这些邮件伪造了德国的快递服务DHL。 DeepRay警报：对德国客户的攻击 2020年4月13日中午，我们的监测系统创建了一个警报，因为DeepRay报告了对PowerShell下载器上一个特定检测的点击量比平常多。警报系统可以及早发现是否出了问题，由于垃圾邮件攻击我们的德国客户，触发了这个警报，检测系统合法地阻止了恶意软件下载程序的工作。 我们对所检测到的威胁进行了调查，发现了与BEAST相关的条目，这些条目表明罪魁祸首是通过电子邮件发送的Excel文档。尽管我们自己没有收到Excel或电子邮件文档本身，但确实看到了BEAST为同意恶意软件信息倡议（Mii）的那些客户报告的感染链。 感染媒介：带有Excel附件的邮件 该恶意邮件声称是来自德国的快递公司DHL，它说找不到最近一份订单的送货地址，收件人应该在附件文件中添加信息。 这篇德文文章中 显示了一封电子邮件的截屏，警告了恶意宏，我们发现这些宏是和IOC描述的相同威胁。 由于新冠疫情很多商店封锁，目前很多人都在接收快递

简介 此报告列举的是 “ 十二主神 ” GlobeImposter 系列勒索病毒常见名单，文件修复率预计在90%-99%，更多信息如下。 此勒索病毒近期最为活跃的有： Alpha865qqz，Pig865qqz，Artemis865，Tiger865qqz，Delta865qqz，Snake865qqz，Hades865 病毒通常 首先会禁用 Windows defender微软安全软件 和其他杀毒软件 ，防止病毒 程序 被其删除、添加 系统 自启动、删除磁盘卷影 、 停止数据库服务、挂载卷、遍历卷和网络共享资源并加入链表 。 现阶段勒索病毒都会使用 RSA等非对称加密 除系统文件以外的所有文件，然后自删除加密程序。加密后案例如下图 常见名单 .Ox4865qqz . Alpha865qqz .Artemis865 .ALCO865qqz .BIP865qqz .COMBO865qqz .China865qqz .Dragon865qqz .Dog865qqz . Delta865qqz .Goat865qqz .Help865qqz .Horse865qqz . KRAB8 65qqz .Monkey865qqz .Pig865qqz .Rat865qqz .Rooster865qqz .Rabbit865qqz .RESERVE865qqz .Snake865qqz

P300是大脑认知过程中产生的一种事件相关电位，主要与期待、意动、觉醒、注意等心理因素有关。Sutton等人发现，当人脑受到小概率相关事件的刺激时，脑电信号中会出现一个潜伏期约为300ms的正向波峰，P300因此得名。 P300脑机接口 在基于P300的oddball刺激范式 BCI 系统研究中，最经典的应用是Farwell和Donchin在 1988年提出并设计的字符拼写器简称为P300 Speller。如下图所示，使用26个英文字母和 1-9个数字以及下划线排列成 6 x 6 的虚拟键盘矩阵。随机高亮字符矩阵的某一行或某一列，一次实验中6 x 6列均被高亮亮一次，一共12次高亮刺激。受试者必须将注意力集中在矩阵中的字符上，以此来选择组成单词的每个字母。当包括此字符的行或者包含此字符的列被高亮时（也就是oddball范式中的靶刺激），要求受试者对此做出反应，予以计数，会产生P300波形；当不包含此字符的行或者列加亮时，被试不做出反应，不予计数，不会产生P300波形，通过解析脑电信号中的P300时序位置，并对照刺激序列的时序，进而确定刺激的行列位置，从而确定出受试者注视的字符，达到根据思维打字的目的。为了有助于保持受试者的注意力，通常要求受试者对目标字符高亮的次数进行计数。值得注意的是重复高亮次数越多，识别准确率越好，但会增加拼写时间。再者每一个字符也可以代表着一个控制指令

原文链接： New Cyber Operation Targets Italy: Digging Into the Netwire Attack Chain 译者：知道创宇404实验室翻译组 介绍 信息窃取软件是常见的恶意软件之一。 如：多平台远程管理工具（RAT)Netwire (MITRE S0198)从2012年开始被网络犯罪组织不断使用。在我们进行网络监测期间，发现了一个特定的Office文档，该文档通过安装恶意软件插件，来对意大利人民发起隐藏性的网络攻击活动，这种攻击活动的特定供给链采取了独特的技术模式，类似于 这种 ，本文将对此进行深入分析。 技术分析 此活动中使用的变体与NetWire恶意软件家族的其他示例类似，但攻击链有所不同。下图显示了此活动中使用的NetWire攻击链： 释放器 这个NetWire攻击活动是伪装成一个恶意电子邮件附件进行发送的，其中嵌入了XML宏。下面是释放器的静态信息: Excel 文档一旦打开便会有一些动态元素显示（但是没有可以点击的按钮），接着就会有安全窗口弹出并告知宏在文档中已经被禁用。 文档中包含的宏非常小，不包含无效代码或其他反分析技术，下图是随机查找的部分变量命名。 VBS宏代码段与“cloudservices-archive.]best” 域相联系，而且隐藏在图片文件的有效负载中，该有效负载既不是图片也不是可执行文件

    PatchWorkAPT是一个比较有意思的名字，源于该组织武器库是基于开源的代码拼凑而成(地下论坛、暗网、github等等)，组织主要目标是美国军事和政治机构，曾被赛门铁克、卡巴多次对组织Attack活动披露。   组织善用于office_cve武器库，从奇安信github收录以往的样本统计中来看，office_cve通杀漏洞占据了主导地位。     以往的套路，通过漏洞进行提权和载荷的释放，利用msf进行回连，这里不做累述，有好的文章可以参考套路如下链接，本篇文章主要分析C2样本功能： https://www.freebuf.com/articles/network/108637.html   ➬ IOCs: Column 1 Column 2 文件名 0f4f6913c3aa57b1fc5c807e0bc060fc 大小 195072 bytes MD5 0f4f6913c3aa57b1fc5c807e0bc060fc   ➬ 样本分析： ➀ 图中url并非是组织服务端，而是用来测试通信是否有网络连接。   ➁ 动态的获取函数地址，如下所示：   ➂ http报文截获，如下所示：   ↪ 动作一： ➃ 采集系统信息，主机名，uudi，系统版本等，如下所示：   ➄ CreateThread感染分发，其中循环体中CreateThread不停分发感染线程：   ➅

大户追款这个名字大家可能不是很清楚，但是在我们***世界里，无人不知。曾经利用***技术解救下一位 花季少女的性命，即使行内也很少人知道大户追款到底用的是什么样的***工具，如果你想成为大户追款一 样厉害的人，下面我们就一起来看一下大户追款曾经用的都是什么工具。 RAT的变体，其根源可以追溯到2019年的 RAT。这是一种超强的跨平台 、多功能的工具，能够对Windows，Linux，MAC OS X和Android等多个系统造成威胁RAT通常由网 络罪犯和低技能威胁参与者使用，但其功能可以很容易地适应国家赞助的威胁参与者使用，向受害人员进行 恶意RAT，。 来源： oschina 链接： https://my.oschina.net/u/4304158/blog/4284694

开源远控/C&C工具 https://github.com/alphaSeclab/awesome-rat/blob/master/Readme.md 所有收集类项目 RAT 250+ 开源远控/C&C工具，1200+ RAT分析报告\C&C相关文章等。 English Version 目录 开源工具 pupy -> (1)工具 (6)文章 Covenant -> (3)工具 (18)文章 Slackor -> (1)工具 (3)文章 QuasarRAT -> (1)工具 (9)文章 EvilOSX -> (1)工具 (9)文章 Merlin -> (1)工具 (3)文章 商业软件 Team Viewer -> (7)工具 (34)文章 恶意软件(部分) Gh0st -> (5)工具 (23)文章 NanoCore -> (1)工具 (32)文章 NjRat -> (4)工具 (20)文章 Revenge RAT -> (1)工具 (9)文章 PlugX -> (1)工具 (40)文章 (25) RemcosRAT (3) L0rdixRAT (1) LodaRAT (9) GulfRAT (14) NetWireRAT (1) JhoneRAT (2) Dacls (1) BlackRemote (17) Orcus (1) NukeSped (21) DarkComet (1)