戴爾稱「中國黑客」盯上日本企業欲竊知識產權?
更多全球網路安全資訊盡在E安全官網www.easyaq.com
E安全10月16日訊 戴爾旗下安全公司Secureworks?事件響應與反威脅單位?(簡稱CTU?)的研究人員們對BRONZE BUTLER威脅組織(或稱Tick)相關活動展開調查,Secureworks公司稱BRONZE BUTLER的行動表明,其長期以來一直試圖滲透日本企業以竊取知識產權及其它機密數據,相關入侵活動還證明,該惡意集團的入侵目標主要集中在關鍵基礎設施、重工業 、製造業以及國際關係網路層面。CTU?研究人員懷疑該組織可能位於中國。
CTU?研究人員將這一威脅組織的相關威脅情報劃分為兩大類:戰略與戰術。各企業高管可利用對相關持續威脅的戰略評估結論判斷如何有效降低所在企業內日常業務及關鍵資產所面臨的風險。計算機網路維護人員則可利用此次事故響應調查與研究中收集到的戰術信息作為指導,從而降低應對該威脅組織相關活動所投入的時間與精力。
CTU?研究的鍵點
分析BRONZE BUTLER的行動、目標與能力,幫助CTU?研究人員評估該組織位於中國境內的可能性。
該組織曾利用魚叉式釣魚攻擊、戰略性網路入侵(簡稱SWC)以及一項零日漏洞對目標系統實施入侵攻擊。
在自網路中提取目標數據後,BRONZE BUTLER通常會刪除其活動所留下的相關證據。不過其仍會儘可能保留對所入侵環境的持續訪問能力,定期重新訪問目標站點,藉以發現新的數據竊取機會。
該威脅組織成員似乎有能力開發並部署其專有惡意軟體工具。該組織的命令與控制(C&C)協議經過加密,因此給網路維護人員與事件響應人員帶來了一定挑戰。
CTU?研究發現的戰略性威脅情報
分析BRONZE BUTLER組織的指向、來源以及能力,將能夠確定哪些企業可能因此面臨風險。此類信息能夠幫助各企業就相關威脅作出戰略性防禦決策。
黑客組織瞄準哪些內容?CTU?分析結果表明,BRONZE BUTLER主要針對位於日本的企業機構。該威脅組織曾經以非法入侵與關鍵基礎設施、重工業、製造業以及國際關係相關的組織機構的網路體系。Secureworks分析師觀察到,BRONZE BUTLER曾提取以下幾類數據內容:
與技術與開發相關的知識產權
產品規格
敏感性業務與銷售相關信息
網路與系統配置文件
郵件信息與會議記錄
對於知識產權、產品規格以及企業信息的關注表明,該威脅組織正在積極收集其認為可能對競爭性企業具有實際價值的信息。而多樣的目標設置則證明,BRONZE BUTLER很可能由多個具備不同優先順序考量的團隊或者組織共同組成。
關於BRONZE BUTLER組織的歸因以下特性使得CTU?的研究人員們認定BRONZE BUTLER很可能位於中國:
使用公開發佈於某中國開發者網站上的T-SMB掃描工具
在其xxmm後門的某一早期版本中,在安裝服務中使用中文字元
BRONZE BUTLER的惡意軟體 Daserf 後門工具與來自中國的NCPH黑客組織之間存在記錄關聯,另外在中國國內法定假日期間BRONZE BUTLER的活躍度水平有所下降
中國近年來經濟迅猛發展,增長速度飛快。英國前內政部國務大臣麥克·貝茨勛爵表示,中國經濟增長奇蹟令世界嘆服。
但仍有外媒認為,中國的網路間諜組織可能是受到中國雄心勃勃的經濟增長目標的有力推動,高度關注競爭性經濟體所掌握的知識產權與經濟情報,且積極竊取可在國內實現競爭優勢的信息。
然而,中國的基礎設施年支出已經超過了美國和歐盟,擁有世界上最大的高速鐵路網——截止2016 年裡程已達到約2萬公里,是歐洲已建或在建高速鐵路總長度的兩倍左右。此外,自2007年以來,中國機場的數量增加了62%,高速公路總長增加了157%,集裝箱碼頭的數量增加了132%。而另一方面,《中國互聯網經濟白皮書:解讀中國互聯網特色》顯示,中國已經成為全球互聯網經濟的先鋒,並與美國一起成為驅動全球互聯網發展的雙引擎。
BRONZE BUTLER組織的網路能力
BRONZE BUTLER曾使用多種廣泛公開(包括Mimikatz與gsecdump)以及專用型(Daserf與Datper)工具。其似乎擁有充足的資源以長時間不斷開發並替換各類專用工具。該組織開發出可生成並利用加密 C&C 通信機制的遠程訪問工具及惡意軟體,從而提升了檢測與問題緩解工作的複雜程度。另外,其組織成員亦能夠流利使用日語編寫指向日本本土的釣魚郵件,並可在日語環境中成功開展攻擊。
CTU?分析結果表明,BRONZE BUTLER曾經以購買形式獲取到其 C&C 基礎設施當中一部分方案。其基礎設施當中的相當一部分立足日本運行,這可能是為了避免國際通信安全機構的監督與審查。該組織會定期更改各已入侵網路的 C&C IP地址與域名,從而限制其基礎設施被列入黑名單的可能性。另外,該組織還通過訪問已入侵網站補充自身運營基礎設施,BRONZE BUTLER可能曾經具備專用基礎設施的信息獲取能力。
該組織已經被證明有能力發現一款高人氣日本企業工具中存在的嚴重零日漏洞,而後通過掃描及利用這項漏洞無差別破壞日本國內各面向互聯網的企業系統。該組織似乎首先建立初步立足點,而後有選擇地對目標實施進一步入侵。該組織會關注已入侵網路的變化,並主動嘗試通過修改工具及入侵方法以迴避網路維護人員的審查。在長達5年時間內,其始終成功潛伏在多套已入侵網路當中且始終未被察覺。
CTU?研究發現的戰術性威脅情報
事件響應行動使CTU?研究人員們得以深入了解BRONZE BUTLER在入侵期間所使用的工具與具體策略。
攻擊活動使用工具調查
CTU?研究人員們已經觀察到BRONZE BUTLER利用以下獨有的工具方案。圖一所示為該威脅組織在2012年到2017年期間所使用的部分專屬工具。
Daser—這套後門具備遠程shell功能,可用於執行命令、上傳與下載數據、捕捉屏幕截圖以及擊鍵記錄。其採用RC4加密與自定義Base64編碼對HTTP流量進行混淆。CTU?研究人員們確定Daserf擁有兩個版本,分別在Visual C與Delphi中編寫而成。編譯時間戳分析結果證明,Delphi版本屬於Visual C版本的後繼者。CTU?還通過分析發現,以下註冊表項能夠證明計算機已經受到Delphi版本Daserf的感染:
Key: HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerValue: MMID =
Datper —BRONZE BUTLER之所以創建這套Delphi編碼RAT,可能是為了替代Daserf。Datper採用RC4加密配置以混淆HTTP流量。
xxmm (亦被稱為Minzen) —此RAT有可能屬於Daserf的後繼者,其通過一次性加密密鑰實現AES加密HTTP通信機制。研究人員們發現,BRONZE BUTLER在其惡意活動中表現出對Datper與xxmm的使用偏好。CTU?研究人員還確定了xxmm的xxmm builder(詳見圖二),這表明該組織成員會根據目標定製xxmm惡意軟體設置。
圖二:xxmm builder當中的可定製設置。(圖片來源:Secureworks)
xxmm下載器(亦被稱為KVNDM) —這款簡單下載器的代碼類似於主xxmm的有效載荷。
Gofarer —這款下載器在其HTTP通信中使用「Mozilla/4.0+(compatible;+MSIE+8.0;+Windows+NT+6.1;+Trident/4.0;」 User-Agent(詳見圖三)。
圖三:Gofarer HTTP GET請求。(圖片來源:Secureworks)
MSGet —這款持久下載器利用機密傳遞點解析器(簡稱DDR)以下載並執行其它惡意有效載荷。MSGet通常從其中的硬編碼URL處下載已編碼二進位文件。在解碼之後,MSGet會將該二進位文件保存為%TEMP%ms
DGet —這款簡單下載器(詳見圖四)類似於wget Web伺服器檢索工具。
圖四:DGet使用情況。(圖片來源:Secureworks)
Screen Capture Tool —這款工具能夠捕捉受害者系統中的桌面圖像(詳見圖五)。
圖五:Screen Capture Tool使用情況。(圖片來源:Secureworks)
RarStar —這款定製化工具能夠將RAR歸檔文件以POST數據的形式上傳至特定URL處(詳見圖六)。RarStar會利用Base64與一套定製化XOR演算法對POST數據進行編碼。
圖六:RarStar HTTP POST請求。(圖片來源:Secureworks)
BRONZE BUTLER還曾經利用以下公開工具,但CTU?的研究人員們發現該組織對其中大部分工具作出了修改。通過分析,研究人員確定其中曾使用多種打包工具、對源代碼進行功能調整並加以重新編譯。
Mimikatz、Windows Credential Editor (簡稱WCE)、gsecdump— 這3款工具能夠從內存中獲取密碼。
T-SMB Scan —這款SMB掃描工具最初發佈於中國某程序共享網站(pudn.com)。BRONZE BUTLER刪除了其中的輔助信息功能。
WinRAR —這款工具能夠在後續操作解壓出其它工具,並對所提取數據進行壓縮。
從黑客組織攻擊過程可以得到哪些啟發?
事件響應行動使得CTU?研究人員能夠深入了解BRONZE BUTLER在入侵期間所採取的具體策略。
交付BRONZE BUTLER利用魚叉式釣魚郵件與SWC入侵目標網路,且大多藉助Flash。該組織曾經利用包含Flash動畫附件的釣魚郵件下載並執行Daserf惡意軟體,亦利用Flash安全漏洞進行SWC攻擊。
CTU?研究人員們觀察到,BRONZE BUTLER利用各已入侵網站(通常位於日本及韓國)作為其攻擊基礎設施的組成部分。該組織也表現出了在攻擊活動中入侵併利用大量網站的實際能力。由於在同一次攻擊活動中能夠使用大量 C&C 伺服器與多條IP地址,因此該組織似乎也在購買伺服器以攻擊基礎設施。BRONZE BUTLER曾經面向不同目標使用特定攻擊基礎設施,這證明其會對運營基礎設施進行主動分配,從而儘可能降低自身活動被安全研究人員歸因的風險。
漏洞利用在對2016年的入侵事件進行調查時,Secureworks事件響應人員發現,BRONZE BUTLER曾利用SKYSEA Client View(一款日本高人氣企業IT資產管理產品)中當時尚未得到修復的遠程代碼執行漏洞(CVE-2016-7836)。SKY集團於2016年12月21日正式公布此項安全漏洞,但受害者在SKYSEA Client View默認日誌(Ctlcli.log)中的條目顯示,至少自2016年6月以來,該黑客組織就已經開始利用這一漏洞。
圖七:SKYSEA Client View日誌條目顯示出CVE-2016-7836漏洞利用情況。(圖片來源:Secureworks)
在將攜帶型連接設備——例如LTE USB數據機——接入企業設備時,攻擊者即有機會利用此項漏洞。事實上,差旅及遠程協作的日本員工經常使用攜帶型連接設備以接入互聯網及企業VPN。然而,其中部分設備會將互聯網服務供應商的全局IP地址分配給接入的筆記本電腦。惡意攻擊者能夠利用這一漏洞來模擬管理控制台,同時破壞筆記本電腦中的SKYSEA代理以使其暴露在互聯網之上。
BRONZE BUTLER會定期進行互聯網掃描,旨在發現易受攻擊的主機。CTU?研究人員們證實,一部分受到入侵的系統並沒有遭遇進一步破壞或者橫向移動。結果表明,該威脅組織可能會將惡意軟體部署到所有已發現的易受攻擊系統當中,而後驗證目標系統與自身關注點之間的聯繫,最終僅針對特定目標執行進一步活動。
安裝惡意攻擊者利用多種依賴於可執行文件、PowerShell腳本或者VBS/VBE腳本的定製化下載工具,包括Gofarer、MSGet以及xxmm下載器。這些下載器使用HTTP流量,以壓縮與編碼格式下載其它有效載荷(例如Daserf、Dapter或者xxmm),並通常會在文件解碼之後執行下載完成的惡意軟體。
CTU?研究人員識別出一款下載器程序中的代碼,如圖八所示。此代碼會在該可執行文件末尾插入「0」字元以將該文件大小提升至50到100 MB,從而嘗試逃避反病毒軟體的檢測。在對BRONZE BUTLER攻擊進行分析時,CTU?研究人員們觀察到這種進行主動體積提升的文件確實能夠逃過多種反病毒工具的法眼。
圖八:用於提升有效載荷文件大小的下載器惡意軟體代碼。(圖片來源:Secureworks)
CTU?研究人員們還觀察到,BRONZE BUTLER會在已入侵系統上將下載器源代碼下載至一個文件當中(do.cs),而後將其編譯為可執行文件(do.exe)。經過解密的代理日誌顯示,惡意攻擊者確實在已入侵系統上編譯定製化代碼(詳見圖九)。
圖九:解密代理日誌顯示,已入侵端點上曾進行定製化代碼編譯。(圖片來源:Secureworks)
利用命令與控制(簡稱C&C)通信Daserf、Datper以及xxmm通過HTTP、加密命令以及數據同 C&C 伺服器進行通信,具體加密演算法如表一所示。只要已入侵系統在代理定義的授權時間內進行通信,這些工具即可利用IE瀏覽器組件繞過代理身份驗證伺服器。
| 惡意軟體 | HTTP 方法 | 加密演算法 |
| Daserf (Visual C) | POST | RC4 |
| Daserf (Delphi) | GET (大型數據則使用POST) | RC4 |
| Datper | GET (大型數據則使用POST) | RC4 |
| xxmm | GET (大型數據則使用POST) | RC4AES外加一次性加密密鑰 |
表一:Daserf、Datper以及xxmm加密演算法。
BRONZE BUTLER為每款工具配備特定的 C&C 伺服器,同時會定期更改 C&C 伺服器。該組織的 C&C 伺服器中有很大一部分位於日本。代理日誌(詳見表二)中的特定URL模式能夠揭露BRONZE BUTLER的具體活動。
| 惡意軟體 | URL模式 | 用戶-代理 |
| Daserf | http://.gifhttp://.asphttp://.php?id=&= | Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; SV1)Internet Explorer 多個版本 |
| Datper | http://.php? |
|
| xxmm | http://.php?t0=>&t1=&t2=&t3=&t6=http://.php?id0=&id1=&id2=id3=&id6=http://.php?idcard0=idcard1= | Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; SV1) |
表二:與BRONZE BUTLER惡意活動相關的URL模式。
BRONZE BUTLER在這些工具當中利用遠程訪問能力,通常借用現有PC供應商的目錄——例如C:DELL以及C:HP——作為入侵環境的工作目錄。CTU研究人員們也已經發現,這些惡意攻擊者亦會使用以下工作目錄:
C:Intel
C:IntelLogs
C:IntelExtremeGraphicsCUI
C:PerfLogsAdmin
憑證訪問
BRONZE BUTLER利用Mimikatz以及WCE等憑證竊取工具從已入侵主機的內存當中獲取驗證信息。CTU研究人員對包括Mimikatz在內的多份xxmm樣本進行分析,並發現其允許惡意攻擊者直接立足xxmm執行Mimikatz命令(詳見圖十)。另外,xxmm還整合了一款UAC旁路工具,用於在竊取密碼之前提升許可權。
圖十:xxmm中的Mimikatz命令。(圖片來源:Secureworks)
CTU?分析結果顯示,BRONZE BUTLER還創建了偽造的Kerberos Ticket Granting Ticket(簡稱TGT)與Ticket Granting Service(簡稱TGS)標籤,亦分別被稱為『金票』與『銀票』,用以維持管理訪問能力。圖十一所示即為惡意攻擊者創建「金票」的相關示例。
圖十一:BRONZE BUTLER創建的偽造「金票」。(圖片來源:Secureworks)
金票需要用戶名,但域控制器不會驗證其是否合法。CTU?研究人員檢測到,BRONZE BUTLER攻擊者曾使用過以下金票用戶名:
bgtras
bgtrs
kkir
kisetr
netkin
orumls
wert
主機列舉
攻擊者們通常會使用內置的Windows ping與net命令進行網路與主機列舉活動,從而最終同文件共享伺服器建立聯繫(詳見圖十二)。BRONZE BUTLER還利用T-SMB Scan工具羅列當前可用SMB主機,並使用多種屏幕捕捉工具以獲取其它相關信息。
圖十二:BRONZE BUTLER的主機列舉行為。(圖片來源:Secureworks)
橫向移動在完成對一台主機的入侵後,惡意攻擊者會進一步嘗試在網路內移動以破壞更多接入系統。BRONZE BUTLER通常利用以下流程實現橫向移動:
1. 使用「net use」與「copy」命令將來自已入侵主機的惡意文件(例如惡意軟體)發送至同一網路上的其它目標系統處。
2. 使用「net time」命令檢查目標系統上的本地時間。
3. 使用「at」或者「schtask」命令在數分鐘內註冊一項待執行的計劃內任務。
4. 數分鐘後,惡意文件即在目標系統上執行。
此惡意文件通常為批處理文件,其負責下載惡意軟體,並在註冊表中註冊惡意軟體以實現自動執行。圖十三所示為使用at以執行計劃內任務的zrun.bat執行文件(為批處理文件)。
圖十三:計劃內任務註冊。(圖片來源:Secureworks)
圖十四所示為該批處理文件(zrun.bat)的執行流程,其添加新的註冊表項以實現惡意軟體的自動執行。
圖十四:添加註冊表項以自動執行惡意軟體。(圖片來源:Secureworks)
CTU研究人員們還觀察到,BRONZE BUTLER在為惡意軟體命名時會使用與當前文件共享伺服器上已有文檔文件相同的名稱,這意味著用戶可能會在毫不知情的前提下在其它系統上啟動並安裝該惡意軟體(詳見圖十五)。
圖十五:惡意軟體使用與現有文檔文件相同的名稱。(圖片來源:Secureworks)
文件提取BRONZE BUTLER通常會為已入侵主機與文件共享伺服器創建一份文件列表(類似於購物清單)。如果這份列表較為短小,則該威脅組織會直接進行文件提取。但如果列表內容較多,惡意攻擊者則會採用以下流程:
1. 使用惡意軟體將大量列舉文件的清單上傳至C&C伺服器。
2. 選擇需要竊取的特定文件,構建新的清單。
3. 使用下載器或者其它惡意軟體將新清單發送至已入侵主機。
4. 使用歸檔軟體將各文件整理為一個受密碼保護的歸檔文件。
5. 使用上傳器或者其它惡意軟體將該歸檔文件上傳至攻擊者控制的伺服器處。此上傳器軟體由該組織所專有,但Datper與xxmm當中同樣包含上傳功能。在數據提取完成時,上傳器(或者Datper及xxmm)會立即使用del命令刪除此RAR歸檔文件。
圖十六所示為BRONZE BUTLER整理出新的文件清單,並將特定文件歸檔為RAR格式以供竊取。
圖十六:整理一份新的文件清單並對目標文件進行歸檔,從而完成竊取。 (圖片來源:Secureworks)
該組織會使用密碼對RAR歸檔文件進行加密。CTU?研究人員們觀察到,BRONZE BUTLER網路惡意活動當中曾經使用以下密碼:
1234qwer
1234qwer!
1234$%qwer
1qazxsw2
1qazxcde32ws
總結
BRONZE BUTLER對目標組織進行細化劃分,且主要針對日本企業。其初始攻擊載體包括發布郵件、SWC以及利用企業日常軟體當中存在的安全漏洞。該組織能夠攻克安全控制機制以提取知識產權,而受害者應在與其接觸之前制定可靠的清理計劃,從而防止其重新入侵企業網路。
CTU?研究人員們建議稱,各類企業——特別是掌握著大量對BRONZE BUTLER而言具備重要價值的資產與知識產權的企業,應當採取以下安全措施:
查看代理日誌設置,確保其會記錄諸如HTTP參數與用戶-代理之類的信息,以供後續分析。利用同BRONZE BUTLER活動相關的URL模式搜索代理日誌文件,從而及時發現可能存在的Web伺服器掃描情況。
使用高級端點威脅檢測(簡稱AETD)解決方案以監控網路端點上的各類活動。安裝後台監視工具(例如Sysmon)以詳盡記錄Windows事件信息,從而有效協助事件響應工作。
及時採用漏洞補丁與系統更新。將SKYSEA Client View更新至最新版本。
查看網路訪問控制機制。具體來講,檢查在企業系統上利用攜帶型USB數據機實現的網路訪問。另外,對高許可權帳戶(例如Active Directory管理員)執行嚴格的安全控制,從而防止未經授權的用戶訪問行為。
威脅指標
表三中的指標與BRONZE BUTLER惡意活動相關。這些URL可能包含惡意內容,因此在瀏覽器中打開此類內容之前,請慎重考慮相關風險。
| 指標 | 類型 | 情景 |
| 795327de450e7f1e371a019a3d43673b60df4b7bf91138afa9ddc3913384f913 | SHA256 hash | MSGet downloader |
| c043c28ea0d767055a8f8d4e94a9acdf62a81927b0ae63b8a9f16288f92cd093 | SHA256 hash | MSGet downloader |
| 4d7ce20a8d5bc05b7d4b1e147174f486033805260db1edbbc2516fced7558bcc | SHA256 hash | MSGet downloader |
| 1ca3b1b259681bca70956139d25a559ccd0b0c04d4f45f08fb954e569aabf9ae | SHA256 hash | MSGet downloader |
| 08e49c1d476aefb4c590cf135229d6da7981c7425e547d4f2877d79c1a1ab601 | SHA256 hash | VBE downloader |
| 6a63cb7089480fa76b784ca7043e147332768bccc39b84249af11f05b0dde66f | SHA256 hash | VBE downloader |
| 026f5c37f0d633ab27b83082dd0e818edbd80c27f86ba12b5cf32b425edb92d0 | SHA256 hash | VBE downloader |
| 21111136d523970e27833dd2db15d7c50803d8f6f4f377d4d9602ba9fbd355cd | SHA256 hash | Daserf (Visual C) |
| 15abe7b1355cd35375de6dde57608f6d3481755fdc9e71d2bfc7c7288db4cd92 | SHA256 hash | Daserf (Visual C) |
| 2bdb88fa24cffba240b60416835189c76a9920b6c3f6e09c3c4b171c2f57031c | SHA256 hash | Daserf (Visual C) |
| 85544d2bcaf8e6ca32bbc0a9e9583c9db1dce837043f555a7ff66363d5858439 | SHA256 hash | Daserf (Visual C) |
| f8f31f73157bf049b318429c1d60ad7ff2851e62535d95cf8d121216b95c8602 | SHA256 hash | Daserf (Visual C) |
| b1690facbce9bcc66ebf18f138dbbc10c3662a2034c211e0c414e47c7e208b4a | SHA256 hash | Daserf (Visual C) |
| e620c9d19d7d1f609e0bb08465e4c58db97fd0158fb286d938542fc1f03a2302 | SHA256 hash | Daserf (Visual C) |
| 2dc24622c1e91642a21a64c0dd31cbe953e8f77bd3d6abcf2c4676c3b11bb162 | SHA256 hash | Daserf (Visual C) |
| a4afd9df1b4cc014c3a89d7b4a560fa3e368b02286c42841762714b23e68cc05 | SHA256 hash | Daserf (Visual C) |
| dab557bae0eb93475c2c2639f186fd717dd57d8d6354232838f44ba6b6a07172 | SHA256 hash | Daserf (Visual C) |
| db6a6a4f675cba87405c9c7b016713d3e65b052ffc6c8963764a3d3788f432fa | SHA256 hash | Daserf (Visual C) |
| 4b8ca82e6f407792cfb51de881f06b86bd4b59f85746b29c3287aee0015b1683 | SHA256 hash | Daserf (Visual C) |
| db8b494de8d897976288c8ccee707ff7b7967fb48caef99d75687584191c2411 | SHA256 hash | Daserf (Visual C) |
| e2fd17445d81df89f7a9c1ff1c69c9b382215f597db5e4730f5c76557a6fd1f9 | SHA256 hash | Daserf (Visual C) |
| 0a031665d05e82038d620facf9d4a86a89e78544f2f770f579c980dae2e252bf | SHA256 hash | Daserf (Visual C) |
| fa9a3341649e798bbc340ce9b2fe69791fe733aa9e46da666ce13b8cf7ca8f4d | SHA256 hash | Daserf (Visual C) |
| f06b440052bd2c2eb127c33c35a80c4eca34a06360d3ee1bb37348d6029dc955 | SHA256 hash | Daserf (Visual C) |
| 2a39372dea901665ab9429d2f15b3f4fb10706423e177226539047ee1ac3e4a3 | SHA256 hash | Daserf (Visual C) |
| 4e15392553ca8e7d06f9f592eb04cf6dbfed18c98c56afc0ccd132465b270e12 | SHA256 hash | Daserf (Delphi) |
| 89a80ca92600af64eb9c32cab4e936c7d675cf815424d72438973e2d6788ef64 | SHA256 hash | Daserf (Delphi) |
| b1bd03cd12638f44d9ace271f65645e7f9b707f86e9bcf790e0e5a96b755556b | SHA256 hash | Daserf (Delphi) |
| 22e1965154bdb91dd281f0e86c8be96bf1f9a1e5fe93c60a1d30b79c0c0f0d43 | SHA256 hash | Daserf (Delphi) |
| b1fdc6dc330e78a66757b77cc67a0e9931b777cd7af9f839911eecb74c04420a | SHA256 hash | Daserf (Delphi) |
| 67e32df3a460f005e7aec83b903f6d47d5533ff3843a97d186ad02316dff9fa9 | SHA256 hash | Daserf (Delphi) |
| 2c449b562dfce53cf98acaddf37286cfb2d1e9da1536511a08bbd24ed93624a6 | SHA256 hash | Daserf (Delphi) |
| 236848e301d71cab6e17a0503fb268f25412838eccb5fb17e78580d2d0a3a31d | SHA256 hash | Daserf (Delphi) |
| b0966e89eae36a309d89a0c15c8a07677f58130fdc76bc98c16968376ec80626 | SHA256 hash | Daserf (Delphi) |
| 68e5013a8147e77e892dcd06687e5e815c3837fb83fbff16bac442c65b2f3e73 | SHA256 hash | Daserf (Delphi) |
| e2f174f8368b46054e6ec2feec00b878b63e331ba3628374d584b238a95fd770 | SHA256 hash | Daserf (Delphi) |
| 7afb8082822bf3e55c6639ed2e272846c6be0e5c1fd40402b8b0f69e37402461 | SHA256 hash | Daserf (Delphi) |
| 630aa710bb7080143498d7fafbb152bbfe581bf690d9bfad041e4e285f152de2 | SHA256 hash | Daserf (Delphi) |
| efa68fcbd455a72276062fb513b71547ea11fedf4db10a476cc6c9a2fa4f67f7 | SHA256 hash | Datper |
| 90ac1fb148ded4f46949a5fea4cd8c65d4ea9585046d66459328a5866f8198b2 | SHA256 hash | Datper |
| 331ac0965b50958db49b7794cc819b2945d7b5e5e919c185d83e997e205f107b | SHA256 hash | Datper |
| 12d9b4ec7f8ae42c67a6fd030efb027137dbe29e63f6f669eb932d0299fbe82f | SHA256 hash | Datper |
| 303b75a7c350d26116fe341d77105a33c8cb1da3dc82424c3eac401820e868dd | SHA256 hash | Datper |
| 340906b6b3a4149875dea37221843cb8b67c51eb4520b39956cb6761ef0a3c5d | SHA256 hash | Datper |
| b3cc83978bbc4f5603e93ec8c687a7007a3f7dbfbae01bff0a30332b06ea44d9 | SHA256 hash | Datper |
| 18e896a7547aacb33aa3941ab1b61659ed099c0f6fbb924068f81b4289b05f12 | SHA256 hash | xxmm |
| 4d208c86c8331b7f1f6dd53f83af9ee4ec700a74792b419f663a3ce105d15d1c | SHA256 hash | xxmm |
| 28894a78bc00d6774d1242925787d35c5c2ae2563f5f7f1ff38dc0b441a15812 | SHA256 hash | xxmm |
| 747041d73b3eb29dde5c9e31efdd5e675f16f182c23999ed5613be0e9be12351 | SHA256 hash | xxmm |
| 15b4c1d29b41531b255e41d39d194a52bdc98a3b65a13771d8caf92372b324ce | SHA256 hash | xxmm |
| ac501bb7e9e1bc57dd027d152f4a7c473f108e37023aae4bad64117241963b5c | SHA256 hash | xxmm |
| 7197de18bc5a4c854334ff979f3e4dafa16f43d7bf91edfe46f03e6cc88f7b73 | SHA256 hash | xxmm |
| fe06b99a0287e2b2d9f7faffbda3a4b328ecc05eab56a3e730cfc99de803b192 | SHA256 hash | xxmm |
| e94a7e835c657dd8a82dab5705db0ec279d1de97a3524f0e25e1e3d78f0561b8 | SHA256 hash | xxmm |
| 09df0591a885b8d16767820c9eac51a5dd8099a4b17a46bffe38b315a6e29d0b | SHA256 hash | xxmm |
| 7333f4601379d5877ec1416e4d82654d312210d5bcf4d628b98207a737bdb654 | SHA256 hash | xxmm |
| 425616f2958ba176662eb9bd66259fb38ca513b5831f0a07956b22839d915306 | SHA256 hash | xxmm |
| 46eae3931334468246c728a7e0ab3bbfafe40c9f73f80bf0544b8aa649227d60 | SHA256 hash | xxmm |
| de18ebedc5b29d66244773dda80b22ecf2c453cdbeaa85149c4ff0e96bdc4478 | SHA256 hash | xxmm downloader |
| 70ef2e2fa3ac2c44a34963aca5dfe79e2b4f51795181374cca63bbf789f8a7f0 | SHA256 hash | xxmm downloader |
| b11941e0510e02283e7732a72f853027ea9271a2d4dc87d736ae33275eab2806 | SHA256 hash | xxmm downloader |
| bd81521445639aaa5e3bcb5ece94f73feda3a91880a34a01f92639f8640251d6 | SHA256 hash | DGet |
| 0fc1b4fdf0dc5373f98de8817da9380479606f775f5aa0b9b0e1a78d4b49e5f4 | SHA256 hash | RarStar |
| http://115.144.166.240/ | URL | Daserf (Delphi) C2 server |
| http://203.111.252.40/ | URL | Daserf (Delphi) C2 server |
| http://27.255.69.209/ | URL | Daserf (Delphi) C2 server |
| http://27.255.91.238/ | URL | Daserf (Delphi) C2 server |
| http://106.184.5.30/ | URL | Daserf (Delphi) C2 server |
| http://airsteel.co.jp/cgi-bin/search/02/06_cgi.php | URL | Datper C2 server |
| http://gigasolar.jp/images/blog/20131011news-3.php | URL | Datper C2 server |
| http://www.atnet-photo.com/japan/themes/default/themes.php | URL | Datper C2 server |
| http://www.primeob.com/include/mpage/store.php | URL | Datper C2 server |
| http://baby.ests.jp/Templates/themes.php | URL | Datper C2 server |
| http://www.kamomeza.net/coppermine/images/thumb_dom.php | URL | xxmm C2 server |
| http://noukankyo.org/images/about/soshikizu.php | URL | xxmm C2 server |
| http://jmta.co.jp/module/Template/Plugin/Math.php | URL | xxmm C2 server |
| //i-frontierasia.com/shiryoku/link.php | URL | xxmm C2 server |
| http://leadoffnet.com/img/top/top_12.php | URL | xxmm C2 server |
| http://www.concierge.com.cn/public_html/wp-content/themes/comment.php | URL | xxmm C2 server |
| http://www.wco-kyousai.com/ex-engine/themes/xe_default/conf/info.php | URL | xxmm C2 server |
| http://angelbaby.jpn.cm/html/images/deleteComments.php | URL | xxmm C2 server |
| http://www.infomiracle.info/TwitterQuest/image/ser.dat | URL | Used by BRONZE BUTLER to host tools |
| http://160.16.243.147/images/CUI.jpg | URL | Used by BRONZE BUTLER to host tools |
| http://160.16.243.147/images/ns.jpg | URL | Used by BRONZE BUTLER to host tools |
| http://oan.jp/photo/logo_new.jpg | URL | Used by BRONZE BUTLER to host tools |
| http://oan.jp/photo/logo_old.jpg | URL | Used by BRONZE BUTLER to host tools |
| http://s-city.net/sport/pic1612.jpg | URL | Used by BRONZE BUTLER to host tools |
| http://sha-sigma.com/led/aa.dat | URL | Used by BRONZE BUTLER to host tools |
| http://www.s-city.net/images/beach6.jpg | URL | Used by BRONZE BUTLER to host tools |
| http://www.stylmartin.co.jp/bdflashinfo/ns12.jpg | URL | Used by BRONZE BUTLER to host tools |
| http://www.stylmartin.co.jp/bdflashinfo/pageicons/6.jpg | URL | Used by BRONZE BUTLER to host tools |
| http://www.slvcx.com/t.rar | URL | Used by BRONZE BUTLER to host tools |
| http://www.sinwa-jp.com/works/logo-unix.php | URL | BRONZE BUTLER exfiltration point |
| http://www.baiya.jp/2014dressnumber/images/logo-unix.php | URL | BRONZE BUTLER exfiltration point |
※《奧運會網路安全報告》:黑客未來將如何攻擊體育賽事?
※全球網路安全合作計劃(Epic)正式啟動
※一幫普通黑客用了這幾招偷了銀行2億6千萬
※1.4萬個IP地址組成的Fast Flux殭屍網路浮出水面
TAG:E安全 |