中东地区DNSpionage安全事件分析

这篇具有很好参考价值的文章主要介绍了中东地区DNSpionage安全事件分析。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

事件摘要

思科Talos公司最近发现了一个以影响.gov域名为攻击手段的安全事件,而此安全事件主要针对黎巴嫩和阿拉伯联合酋长国(阿联酋)以及一家私营的黎巴嫩航空公司。根据我们的研究,攻击者花费了许多时间来了解受害者的基础网络,以便能够在实施攻击的时候保持隐蔽性。

根据我们捕获到的攻击者基础设施情况以及TTP的详情,我们无法将此攻击事件同最近其余事件相联系。

此次攻击中,攻击者使用了两个虚假的恶意网站,其中一个网站包含了嵌入式的恶意Microsoft Office文档并用此来阻止目标作业的发布。我们称此攻击软件为“DNSpionage”,而此软件支持受害者与攻击者的HTTP和DNS进行通信。

在某些攻击事件中,攻击者往往使用相同的IP来重定向合法的.gov和私有域的DNS。每次在DNS工作期间,攻击者都会为重定向的域生成了Let加密证书,并为用户免费提供X.509 TLS证书。然而,我们目前还并不知道DNS重定向是否能够成功。

在这篇文章中,我们将分析攻击者的手段,并展示他们如何使用恶意文档来诱骗用户打开伪装成求职者的“求职”网站。 此外,我们将详细叙述DNS重定向事件的攻击时间轴。

攻击参数

虚假工作网站

攻击者在攻击初始时使用了两个恶意网站,而此两个网站模仿了合法网站的工作列表:

  • hr-wipro[.]com (with a redirection to wipro.com)

  • hr-suncor[.]com (with a redirection to suncor.com)

这些站点托管了恶意的Microsoft Office文档:hxxp://hrsuncor[.]com/Suncor_employment_form[.]doc.

该文件存在于加拿大可持续能源公司Suncor Energy网站,并且此网站提供了合法文件的副本,其中包含恶意的代码。

此时,我们并不知道目标是如何收到这些链接的。 攻击者很可能通过电子邮件发送恶意文档并使用鱼叉式网络钓鱼攻击。但它也可以通过社交媒体平台(如LinkedIn)进行恶意传播,以试图使新发布的工作机会合法化。

恶意文档文件

打开第一个Office文档后,用户会收到一条消息“可用的内容模式”:

分析攻击样本我们可以将其攻击分为以下两个部分:中东地区DNSpionage安全事件分析

 

  1. 打开文档时,宏将解码成为由base64编码的PE文件,并将其从%UserProfile%\ .oracServices \ svchost_serv.doc中删除。

  2. 当文档关闭时,宏将文件“svchost_serv.doc”重命名为“svchost_serv.exe”。 然后,宏创建一个名为“chromium updater v 37.5.0”的计划任务,以便执行二进制文件。 计划任务每分钟立即执行一次。

这两个步骤的目的是避免沙盒检测。

有效负载在Microsoft Office关闭时执行,这意味着需要人工交互才能部署它。 这些宏虽然可通过分析获得,但在Microsoft Word中却受密码保护,以阻止受害者通过Microsoft Office查看宏代码。

此外,宏使用经典的字符串混淆以避免字符串检测:

中东地区DNSpionage安全事件分析

 

schedule.service”字符串由一系列事件共同创建。 最终的有效负载是一个名为“DNSpionage”的远程管理工具。

DNSPIONAGE恶意软件

恶意软件分析

恶意文档中存在的恶意软件是并没有记录过的远程管理工具。 因为它支持DNS通道作为与攻击者设施进行通信的隐蔽通道,所以我们将其命名为DNSpionage。文章来源地址https://www.toymoban.com/news/detail-447470.html

到了这里,关于中东地区DNSpionage安全事件分析的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Spark安全日志分析与事件调查:实战指南

    摘要: 在当今数字化时代,安全日志分析和事件调查变得至关重要。本博客将介绍如何使用Spark进行安全日志分析和事件调查,展示了项目经验、详细的技术细节和提供了代码示例。通过深入理解和准备,您将能够展示您在Spark上的专业知识,为安全团队提供强大的分析和调

    2024年04月13日
    浏览(55)
  • 创宇区块链|Inverse Finance 安全事件分析

    北京时间 2022 年 4 月 2 日晚,Inverse Finance 借贷协议遭到攻击,损失约 1560 万美元。知道创宇区块链安全实验室第一时间跟踪本次事件并分析。 基础信息 攻击tx1:0x20a6dcff06a791a7f8be9f423053ce8caee3f9eecc31df32445fc98d4ccd8365 攻击tx2:0x600373f67521324c8068cfd025f121a0843d57ec813411661b07edc5ff781842 攻

    2023年04月08日
    浏览(38)
  • Defi安全-Mono攻击事件分析--etherscan+phalcon

    在Ethereum和Polygon网络都发生了,攻击手段相同,以Ethereum为例进行分析: 攻击者地址:MonoX Finance Exploiter | Address 0xecbe385f78041895c311070f344b55bfaa953258 | Etherscan 攻击合约:Contract Address 0xf079d7911c13369e7fd85607970036d2883afcfd | Etherscan 攻击交易:Ethereum Transaction Hash (Txhash) Details | Etherscan 漏

    2024年02月04日
    浏览(40)
  • 第67篇:美国安全公司溯源分析Solarwinds供应链攻击事件全过程

    大家好,我是ABC_123 。本期继续分享Solarwinds供应链攻击事件的第4篇文章,就是美国FireEye火眼安全公司在遭受攻击者入侵之后,是如何一步步地将史上最严重的Solarwinds供应链攻击事件溯源出来的。 注: Mandiant安全公司已被FireEye收购,但是仍然可以独立运营,严格地说的,这

    2024年02月03日
    浏览(42)
  • 知道创宇区块链安全实验室|Deus Finance预言机攻击事件分析

    1.前言 北京时间 2022 年 3 月 15 日,知道创宇区块链安全实验室监测到 Deus Finance 遭到黑客攻击,损失约 300 万美元。知道创宇区块链安全实验室 第一时间跟踪本次事件并分析。 2.基础信息 攻击者地址:0x1ed5112b32486840071b7cdd2584ded2c66198dd 攻击合约:0xb8f5c9e18abbb21dfa4329586ee74f1e2b6

    2023年04月08日
    浏览(44)
  • 【实证分析】地区竞争、推广数字普惠金融与绿色经济效率

    研究内容 基于考虑非期望产出的 Super-SBM 模型测算了 2011—2018 年中国 265 个地级市的绿色经济效率,综合运用面板模型、空间杜宾模型,系统分析了地区竞争下推广数字普惠金融对绿色经济效率的影响效应。研究发现:(1)绿色经济效率存在显著正向空间溢出效应,地理距离与经济差

    2024年02月12日
    浏览(47)
  • 【深度】从链上分析和金融安全角度,看stETH的囚徒困境和Celsius挤兑事件

    6月7日开始,以Celsius被曝损失 3.5 万枚 ETH开始,ETH流动性生态乃至整个加密货币市场进入到一个以stETH为中心的流动性囚徒困境之中,而这也造成了对Celsius等加密货币“银行”挤兑现象的发生。 SharkTeam将从事件的起源开始,也就是ETH质押生态的形成,从链上分析和金融安全的

    2024年02月08日
    浏览(30)
  • 卡巴斯基 | 全球地区范围网络安全威胁实时数据显示地图

    卡巴斯基 卡巴斯基反病毒软件是世界上拥有最尖端科技的杀毒软件之一,总部设在俄罗斯首都莫斯科,全名“卡巴斯基实验室”,是国际著名的信息安全领导厂商之一,创始人为俄罗斯人尤金·卡巴斯基。         公司为个人用户、企业网络提供反病毒、防黑客和反垃圾

    2024年02月11日
    浏览(42)
  • 潜伏三年,核弹级危机一触即发,亚信安全深度分析XZ Utils后门事件

    2024年3月29日星期五上午8点,有研究人员称xz/liblzma中的后门导致SSH服务器内存泄露,使得SSH服务异常(https://www.openwall.com/lists/oss-security/2024/03/29/4)。github中“xz”压缩工具主要由Larhzu和Jia Tan共同负责维护,他们已经合作发布了多个版本。然而,研究人员发现Jia Tan发布的5.6

    2024年04月27日
    浏览(36)
  • Java安全——消息摘要

    消息摘要 消息摘要是安全提供者体系结构中最简单的标准引擎。 消息摘要是一种用于验证数据完整性的安全算法。它可以将任意长度的消息转化为固定长度的摘要信息,并且只要消息内容发生任何变化,其摘要信息也必然会发生变化。Java 提供了多个消息摘要算法,常见的有

    2024年02月13日
    浏览(38)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包