论坛
BBS
空间测绘
发表
发布文章
提问答疑
搜索
您还未登录
登录后即可体验更多功能
立即登录
我的收藏
提问答疑
我要投稿
IOT
[28733] 2021-01-21_Higaisa还是Winnti?APT41后门分析
文档创建者:
s7ckTeam
浏览次数:
0
最后更新:
2025-01-19
IOT
0 人阅读
|
0 人回复
s7ckTeam
s7ckTeam
当前离线
积分
-58
6万
主题
-6万
回帖
-58
积分
管理员
积分
-58
发消息
2021-01-21_Higaisa还是Winnti?APT41后门分析
H
i
g
a
i
s
a
还
是
W
i
n
n
t
i
?
A
P
T
4
1
后
门
分
析
p
t
s
e
c
u
r
i
t
y
O
t
s
安
全
2
0
2
1
-
0
1
-
2
1
2
0
2
0
年
4
月
下
旬
,
一
位
客
户
邀
请
了
P
o
s
i
t
i
v
e
T
e
c
h
n
o
l
o
g
i
e
s
专
家
安
全
中
心
(
P
T
E
S
C
)
的
C
S
I
R
T
事
件
响
应
团
队
调
查
了
网
络
泄
露
,
从
而
导
致
服
务
器
和
员
工
工
作
站
上
文
件
的
加
密
。
我
们
最
初
以
为
这
是
对
具
有
各
种
勒
索
软
件
的
公
司
网
络
的
又
一
次
攻
击
。
但
是
,
我
们
发
现
的
情
况
有
所
不
同
:
这
种
入
侵
是
与
网
络
间
谍
活
动
针
对
政
府
目
标
有
关
的
一
个
著
名
的
亚
洲
A
P
T
小
组
的
工
作
。
最
初
的
成
功
妥
协
发
生
在
两
年
前
。
在
本
文
中
,
我
们
将
分
享
对
这
种
针
对
性
攻
击
的
调
查
结
果
,
该
调
查
始
于
外
国
办
事
处
的
妥
协
。
最
终
,
我
们
成
功
地
将
基
础
架
构
恢
复
到
安
全
状
态
,
并
扭
转
了
已
经
造
成
的
破
坏
。
1
.
H
i
g
a
i
s
a
快
捷
键
第
一
次
攻
击
的
日
期
为
2
0
2
0
年
5
月
1
2
日
。
攻
击
的
核
心
是
一
个
名
为
P
r
o
j
e
c
t
l
i
n
k
和
N
e
w
c
o
p
y
r
i
g
h
t
p
o
l
i
c
y
.
r
a
r
(
7
5
c
d
8
d
2
4
0
3
0
a
3
1
6
0
b
1
f
4
9
f
1
b
4
6
2
5
7
f
9
d
6
6
3
9
4
3
3
2
1
4
a
1
0
5
6
4
d
4
3
2
b
7
4
c
c
8
c
4
d
0
2
0
)
的
存
档
。
存
档
包
含
诱
饵
P
D
F
文
档
(
Z
e
p
l
i
n
版
权
政
策
.
p
d
f
)
以
及
所
有
侵
权
项
目
所
有
侵
权
项
目
的
文
件
夹
-
W
e
b
l
n
k
s
,
具
有
两
个
快
捷
方
式
:
对
话
-
i
O
S
-
滑
动
图
标
-
Z
e
p
l
i
n
.
l
n
k
T
o
k
b
o
x
图
标
-
赔
率
和
结
束
-
i
O
S
-
Z
e
p
l
i
n
.
l
n
k
恶
意
快
捷
方
式
的
结
构
类
似
于
H
i
g
a
i
s
a
集
团
在
2
0
2
0
年
3
月
传
播
的
样
本
2
0
2
0
0
3
0
8
-
s
i
t
r
e
p
-
4
8
-
c
o
v
i
d
-
1
9
.
p
d
f
.
l
n
k
。
图
1
.
比
较
c
o
v
i
d
-
1
9
和
Z
e
p
l
i
n
快
捷
方
式
中
的
命
令
行
初
始
感
染
的
机
制
在
根
本
上
是
相
同
的
:
尝
试
打
开
任
一
快
捷
方
式
都
会
导
致
运
行
一
个
命
令
,
该
命
令
从
L
N
K
文
件
的
主
体
中
提
取
B
a
s
e
6
4
编
码
的
C
A
B
存
档
,
然
后
将
存
档
解
压
缩
到
一
个
临
时
文
件
夹
中
。
在
提
取
的
J
S
脚
本
的
帮
助
下
执
行
进
一
步
的
操
作
。
图
2
.
脚
本
3
4
f
D
F
k
f
S
D
3
2
.
j
s
的
内
容
但
这
与
H
i
g
a
i
s
a
报
告
中
描
述
的
示
例
的
相
似
之
处
在
这
里
结
束
:
相
反
,
此
脚
本
将
有
效
负
载
复
制
到
文
件
夹
C
:
U
s
e
r
s
P
u
b
l
i
c
D
o
w
n
l
o
a
d
s
,
通
过
将
自
身
添
加
到
启
动
文
件
夹
并
添
加
调
度
程
序
任
务
来
实
现
持
久
性
,
并
运
行
有
效
负
载
。
该
脚
本
还
将
P
O
S
T
请
求
中
的
i
p
c
o
n
f
i
g
输
出
发
送
到
h
t
t
p
:
/
/
z
e
p
l
i
n
.
a
t
w
e
b
p
a
g
e
s
[
。
]
c
o
m
/
i
n
t
e
r
.
p
h
p
。
快
捷
方
式
运
行
的
命
令
还
包
含
打
开
从
存
档
中
提
取
的
U
R
L
文
件
。
U
R
L
文
件
的
名
称
和
目
标
地
址
取
决
于
打
开
的
快
捷
方
式
:
会
话
-
i
O
S
-
滑
动
图
标
-
Z
e
p
l
i
n
.
u
r
l
转
到
:
h
t
t
p
s
:
/
/
a
p
p
.
z
e
p
l
i
n
.
i
o
/
p
r
o
j
e
c
t
/
5
b
5
7
4
1
8
0
2
f
3
1
3
1
c
3
a
6
3
0
5
7
a
4
/
s
c
r
e
e
n
/
5
b
5
8
9
f
6
9
7
e
4
4
c
e
e
3
7
e
0
e
6
1
d
f
T
o
k
b
o
x
图
标
-
奇
数
和
结
尾
-
i
O
S
-
Z
e
p
l
i
n
.
u
r
l
转
到
:
h
t
t
p
s
:
/
/
a
p
p
.
z
e
p
l
i
n
.
i
o
/
p
r
o
j
e
c
t
/
5
c
1
6
1
c
0
3
f
d
e
4
d
5
5
0
a
2
5
1
e
2
0
a
/
s
c
r
e
e
n
/
5
c
e
f
9
8
9
8
6
8
0
1
a
4
1
b
e
3
5
1
2
2
b
b
。
这
是
两
个
L
N
K
文
件
之
间
的
唯
一
区
别
。
在
这
两
种
情
况
下
,
目
标
页
面
都
托
管
在
Z
e
p
l
i
n
上
,
Z
e
p
l
i
n
是
设
计
人
员
和
开
发
人
员
之
间
进
行
协
作
的
合
法
服
务
,
并
且
需
要
登
录
后
才
能
查
看
。
有
效
负
载
包
含
两
个
文
件
:
s
v
c
h
a
s
t
.
e
x
e
它
充
当
简
单
的
本
地
s
h
e
l
l
c
o
d
e
加
载
器
。
从
固
定
路
径
读
取
的
s
h
e
l
l
c
o
d
e
。
在
开
始
之
前
,
加
载
程
序
会
检
查
当
前
年
份
:
2
0
1
8
、
2
0
1
9
、
2
0
2
0
或
2
0
2
1
。
图
3
.
s
v
c
h
a
s
t
.
e
x
e
中
的
主
要
功
能
3
t
5
4
d
E
3
r
.
t
m
p
包
含
主
要
有
效
负
载
的
s
h
e
l
l
c
o
d
e
是
C
r
o
s
s
w
a
l
k
后
门
。
2
0
2
0
年
5
月
3
0
日
,
检
测
到
新
的
恶
意
档
案
C
V
_
C
o
l
l
i
e
r
s
.
r
a
r
(
d
f
9
9
9
d
2
4
b
d
e
9
6
d
e
c
d
b
b
6
5
2
8
7
c
a
0
9
8
6
d
b
9
8
f
7
3
b
4
e
d
4
7
7
e
1
8
c
3
e
f
1
0
0
0
6
4
b
c
e
b
a
6
d
)
。
它
有
两
个
快
捷
方
式
:
简
历
_
王
磊
_
香
港
理
工
大
学
.
p
d
f
.
l
n
k
国
际
英
语
语
言
测
试
系
统
证
书
.
p
d
f
.
l
n
k
它
们
的
结
构
与
5
月
1
2
日
以
来
的
样
本
完
全
匹
配
。
在
这
种
情
况
下
,
诱
饵
由
带
有
C
V
和
I
E
L
T
S
证
书
的
P
D
F
文
档
组
成
。
根
据
打
开
哪
个
快
捷
方
式
,
i
p
c
o
n
f
i
g
的
输
出
将
发
送
到
以
下
两
个
地
址
之
一
:
h
t
t
p
:
/
/
g
o
o
d
h
k
.
a
z
u
r
e
w
e
b
s
i
t
e
s
[
。
]
n
e
t
/
i
n
t
e
r
.
p
h
p
或
h
t
t
p
:
/
/
s
i
x
i
n
d
e
n
t
.
e
p
i
z
y
[
。
]
c
o
m
/
i
n
t
e
r
.
p
h
p
。
请
注
意
,
所
有
三
个
中
间
C
2
服
务
器
都
位
于
免
费
托
管
服
务
的
第
三
级
域
上
。
在
浏
览
器
中
访
问
时
,
每
个
页
面
都
会
显
示
不
同
的
诱
饵
页
面
:
图
4
.
z
e
p
l
i
n
.
a
t
w
e
b
p
a
g
e
s
_
c
o
m
上
的
页
面
图
5
.
g
o
o
d
h
k
.
a
z
u
r
e
w
e
b
s
i
t
e
s
_
n
e
t
上
的
页
面
图
6
.
s
i
x
i
n
d
e
n
t
.
e
p
i
z
y
_
c
o
m
上
的
页
面
这
些
服
务
器
在
恶
意
软
件
的
功
能
中
不
发
挥
主
要
作
用
;
其
确
切
目
的
仍
然
未
知
。
可
能
是
恶
意
软
件
作
者
使
用
它
来
监
视
感
染
初
始
阶
段
的
成
功
,
或
者
试
图
通
过
将
恶
意
软
件
掩
盖
为
更
小
的
威
胁
来
带
领
安
全
团
队
“
摆
脱
气
味
”
。
1
.
1
归
因
归
因
M
a
l
w
a
r
e
b
y
t
e
s
和
Z
s
c
a
l
e
r
已
对
这
些
攻
击
进
行
了
详
细
研
究
。
根
据
感
染
链
的
相
似
性
,
研
究
人
员
将
它
们
归
类
为
H
i
g
a
i
s
a
组
。
但
是
,
对
s
h
e
l
l
c
o
d
e
的
详
细
分
析
表
明
,
这
些
样
本
实
际
上
属
于
C
r
o
s
s
w
a
l
k
恶
意
软
件
家
族
。
C
r
o
s
s
w
a
l
k
的
出
现
不
迟
于
2
0
1
7
年
,
并
且
在
F
i
r
e
E
y
e
关
于
A
P
T
4
1
(
W
i
n
n
t
i
)
组
活
动
的
报
告
中
首
次
被
提
及
。
图
7
.
从
F
i
r
e
E
y
e
报
告
图
8
.
3
t
5
4
d
E
3
r
.
t
m
p
中
的
s
h
e
l
l
c
o
d
e
片
段
样
本
的
网
络
基
础
结
构
与
以
前
已
知
的
A
P
T
4
1
基
础
结
构
重
叠
:
在
其
中
一
台
C
2
服
务
器
的
I
P
地
址
上
,
我
们
找
到
了
具
有
S
H
A
-
1
值
b
8
c
f
f
7
0
9
9
5
0
c
f
a
8
6
6
6
5
3
6
3
d
9
5
5
3
5
3
2
d
b
9
9
2
2
2
6
5
c
的
S
S
L
证
书
,
该
证
书
也
位
于
I
P
地
址
6
7
.
2
2
9
.
9
7
[
。
]
上
。
2
2
9
,
在
2
0
1
8
年
C
r
o
w
d
S
t
r
i
k
e
报
告
中
引
用
。
更
进
一
步
,
我
们
可
以
从
2
0
1
3
年
撰
写
的
卡
巴
斯
基
报
告
中
找
到
域
名
。
图
9
.
网
络
基
础
架
构
的
片
段
所
有
这
些
使
我
们
得
出
结
论
,
这
些
L
N
K
文
件
攻
击
是
由
W
i
n
n
t
i
(
A
P
T
4
1
)
进
行
的
,
后
者
从
H
i
g
a
i
s
a
“
借
用
”
了
这
种
快
捷
技
术
。
1
.
2
人
行
横
道
人
行
横
道
C
r
o
s
s
w
a
l
k
是
用
s
h
e
l
l
c
o
d
e
实
现
的
模
块
化
后
门
。
主
要
组
件
连
接
到
C
2
服
务
器
,
收
集
并
发
送
系
统
信
息
,
并
包
含
用
于
安
装
和
运
行
多
达
2
0
个
作
为
s
h
e
l
l
c
o
d
e
从
服
务
器
接
收
到
的
附
加
模
块
的
功
能
。
该
模
块
收
集
的
信
息
包
括
:
操
作
系
统
正
常
运
行
时
间
网
络
适
配
器
I
P
地
址
适
配
器
之
一
的
M
A
C
地
址
操
作
系
统
版
本
以
及
3
2
位
还
是
6
4
位
用
户
名
电
脑
名
称
运
行
模
块
名
称
P
I
D
S
h
e
l
l
c
o
d
e
版
本
以
及
它
是
3
2
位
还
是
6
4
位
(
s
h
e
l
l
c
o
d
e
支
持
3
2
位
和
6
4
位
。
)
它
有
两
部
分
的
版
本
号
;
我
们
发
现
其
中
包
括
1
.
0
、
1
.
1
0
、
1
.
2
1
、
1
.
2
2
、
1
.
2
5
和
2
.
0
。
有
关
C
r
o
s
s
w
a
l
k
的
一
种
版
本
的
详
细
分
析
,
请
参
阅
V
M
w
a
r
e
C
a
r
b
o
n
B
l
a
c
k
调
查
。
基
于
用
于
L
N
K
文
件
攻
击
的
1
.
2
5
版
本
(
8
e
6
9
4
5
a
e
0
6
d
d
8
4
9
b
9
d
b
0
c
2
9
8
3
b
c
a
8
2
d
e
1
d
d
d
b
f
7
9
a
f
b
3
7
1
a
a
8
8
d
a
7
1
c
1
9
c
4
4
c
9
9
6
)
,
在
此
我
们
将
更
详
细
地
描
述
该
恶
意
软
件
的
网
络
方
面
。
C
r
o
s
s
w
a
l
k
具
有
连
接
到
C
2
服
务
器
的
广
泛
功
能
。
此
特
定
示
例
的
网
络
配
置
位
于
s
h
e
l
l
c
o
d
e
的
末
尾
,
并
使
用
1
6
字
节
密
钥
进
行
X
O
R
加
密
。
数
据
结
构
如
下
:
配
置
大
小
(
4
个
字
节
)
密
钥
(
1
6
个
字
节
)
加
密
配
置
该
配
置
又
包
含
以
下
字
段
:
0
x
0
心
跳
间
隔
(
以
秒
为
单
位
)
0
x
4
重
新
连
接
间
隔
(
以
秒
为
单
位
)
一
周
中
可
能
建
立
连
接
的
几
天
的
0
x
8
位
掩
码
一
天
中
可
以
进
行
连
接
的
时
间
的
0
x
C
(
含
)
下
限
一
天
中
可
以
建
立
连
接
的
时
间
的
上
限
为
0
x
1
0
(
不
包
括
)
0
x
1
4
代
理
端
口
0
x
1
8
代
理
类
型
0
x
1
C
代
理
主
机
0
x
9
C
代
理
用
户
名
0
x
1
1
C
代
理
密
码
0
x
1
9
C
C
2
服
务
器
数
量
C
2
服
务
器
的
结
构
的
0
x
1
A
0
数
组
C
2
服
务
器
结
构
包
含
以
下
字
段
:
0
x
0
连
接
类
型
0
x
4
端
口
0
x
8
是
否
需
要
D
N
S
名
称
解
析
(
是
/
否
)
主
机
名
的
长
度
为
0
x
C
0
x
1
0
主
机
名
在
尝
试
连
接
之
前
,
后
门
将
检
查
一
周
中
的
当
前
日
期
和
时
间
是
否
与
配
置
中
允
许
的
相
匹
配
。
然
后
,
它
一
个
接
一
个
地
尝
试
可
能
的
代
理
服
务
器
(
配
置
中
指
示
的
任
何
服
务
器
以
及
系
统
代
理
)
和
C
2
服
务
器
的
组
合
,
直
到
成
功
连
接
为
止
。
后
门
和
C
2
服
务
器
之
间
使
用
的
通
信
协
议
可
以
在
逻
辑
上
分
为
两
个
级
别
:
应
用
层
协
议
传
输
层
协
议
在
应
用
程
序
级
别
,
消
息
包
含
以
下
字
段
:
F
a
k
e
T
L
S
标
头
,
由
5
个
字
节
组
成
:
条
目
类
型
和
协
议
版
本
(
3
个
字
节
)
。
对
于
客
户
来
说
,
这
些
总
是
等
于
1
7
0
3
0
1
;
对
于
服
务
器
,
它
们
具
有
随
机
值
。
数
据
长
度
,
不
包
括
标
题
(
2
个
字
节
)
留
言
内
容
:
命
令
I
D
(
4
字
节
,
小
端
)
命
令
数
据
大
小
(
4
字
节
,
小
端
)
客
户
端
I
D
(
3
6
字
节
)
,
在
后
门
开
始
操
作
时
根
据
U
U
I
D
生
成
命
令
数
据
前
两
个
客
户
端
服
务
器
消
息
和
服
务
器
客
户
端
消
息
分
别
具
有
命
令
I
D
0
x
6
5
和
0
x
6
4
。
它
们
包
含
随
后
将
用
于
生
成
客
户
端
和
服
务
器
会
话
密
钥
的
数
据
。
Z
s
c
a
l
e
r
报
告
中
详
细
介
绍
了
密
钥
生
成
算
法
。
对
于
所
有
后
续
消
息
,
将
在
相
应
的
加
密
会
话
密
钥
中
传
输
内
容
(
不
包
括
F
a
k
e
T
L
S
头
)
。
A
E
S
-
1
2
8
是
使
用
的
加
密
算
法
。
传
输
级
别
协
议
取
决
于
配
置
中
指
示
的
连
接
类
型
。
支
持
四
种
协
议
:
标
准
T
C
P
连
接
应
用
程
序
级
别
的
消
息
按
T
C
P
段
不
变
地
发
送
。
等
效
于
H
T
T
P
长
轮
询
客
户
端
创
建
两
个
T
C
P
连
接
。
第
一
个
将
用
于
从
服
务
器
获
取
数
据
包
,
第
二
个
将
用
于
发
送
数
据
包
。
在
第
一
个
连
接
期
间
,
一
个
G
E
T
请
求
被
发
送
到
C
2
服
务
器
。
服
务
器
以
标
头
2
0
0
和
C
o
n
t
e
n
t
-
L
e
n
g
t
h
:
5
2
4
2
8
8
0
0
0
的
标
头
答
复
。
从
服
务
器
到
客
户
端
的
后
续
应
用
程
序
级
消
息
流
作
为
H
T
T
P
响
应
的
主
体
发
送
。
图
1
0
.
与
C
2
的
第
一
个
H
T
T
P
连
接
收
到
正
确
的
响
应
标
头
后
,
恶
意
软
件
会
建
立
与
同
一
端
口
的
第
二
个
连
接
,
并
在
该
端
口
发
出
P
O
S
T
请
求
。
头
d
C
y
由
客
户
端
基
于
U
U
I
D
生
成
,
并
且
看
起
来
像
是
链
接
两
个
连
接
的
会
话
I
D
。
收
到
代
码
为
2
0
0
的
响
应
后
,
使
用
单
独
的
P
O
S
T
请
求
将
后
续
消
息
从
客
户
端
发
送
到
服
务
器
。
分
析
报
告
原
文
链
接
:
h
t
t
p
s
:
/
/
w
w
w
.
p
t
s
e
c
u
r
i
t
y
.
c
o
m
/
w
w
-
e
n
/
a
n
a
l
y
t
i
c
s
/
p
t
-
e
s
c
-
t
h
r
e
a
t
-
i
n
t
e
l
l
i
g
e
n
c
e
/
h
i
g
a
i
s
a
-
o
r
-
w
i
n
n
t
i
-
a
p
t
-
4
1
-
b
a
c
k
d
o
o
r
s
-
o
l
d
-
a
n
d
-
n
e
w
/
阅
读
原
文
回复
举报
上一个主题
下一个主题
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
!disable!!post_parseurl!
使用Markdown编辑器编辑
使用富文本编辑器编辑
回帖后跳转到最后一页
浏览过的版块
逆向
发表
IOT