搜索

[12032] 2017-11-20_美国US-CERT发布朝鲜黑客组织HIDDENCOBRA网络攻击架构中涉及中国IP地址

文档创建者:s7ckTeam
浏览次数:4
最后更新:2025-01-18
2017-11-20_美国US-CERT发布朝鲜黑客组织HIDDENCOBRA网络攻击架构中涉及中国IP地址 U S - C E R T H I D D E N   C O B R A I P c l o u d s   F r e e B u f   2 0 1 7 - 1 1 - 2 0   U S - C E R T     D H S     F B I   H I D D E N   C O B R A T A 1 7 - 3 1 8 A   H I D D E N   C O B R A   - F A L L C H I L L U S - C E R T   D H S     F B I   I P   I O C F A L L C H I L L D H S F B I F A L L C H I L L 5 I P . g o v . c n F B I   I O C . c s v 8 7 I P H I D D E N   C O B R A H I D D E N C O B R A I P D H S F B I I P   I O C . c s v I P H I D D E N   C O B R A I P I P I P I O C . c s v 5 I P w w w . h u b e i c o a l - s a f e t y . g o v . c n
H I D D E N   C O B R A   I O C . c s v H I D D E N   C O B R A - M A R   . p d f F A L L C H I L L H I D D E N   C O B R A 2 0 1 6 F A L L C H I L L F A L L C H I L L R A T C 2 D r o p p e r F A L L C H I L L m a l w a r e - a s - a - s e r v i c e F A L L C H I L L I P F A L L C H I L L H I D D E N   C O B R A 使 C 2 H I D D E N   C O B R A F A L L C H I L L 使 T L S   [ 0 d   0 6   0 9   2 a   8 6   4 8   8 6   f 7   0 d   0 1   0 1   0 1   0 5   0 0   0 3   8 2 ] R C 4 F A L L C H I L L
I P I D M A C F A L L C H I L L 线 D H S F B I I P I P H I D D E N   C O B R A Y A R A F A L L C H I L L 使 a l e r t   t c p   a n y   a n y   - >   a n y   a n y   ( m s g : " M a l i c i o u s   S S L   0 1   D e t e c t e d " ; c o n t e n t : " | 1 7   0 3   0 1   0 0   0 8 | " ;     p c r e : " / x 1 7 x 0 3 x 0 1 x 0 0 x 0 8 . { 4 } x 0 4 x 8 8 x 4 d x 7 6 / " ;   r e v : 1 ;   s i d : 2 ; ) _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ a l e r t   t c p   a n y   a n y   - >   a n y   a n y   ( m s g : " M a l i c i o u s   S S L   0 2   D e t e c t e d " ; c o n t e n t : " | 1 7   0 3   0 1   0 0   0 8 | " ;     p c r e : " / x 1 7 x 0 3 x 0 1 x 0 0 x 0 8 . { 4 } x 0 6 x 8 8 x 4 d x 7 6 / " ;   r e v : 1 ;   s i d : 3 ; ) _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ a l e r t   t c p   a n y   a n y   - >   a n y   a n y   ( m s g : " M a l i c i o u s   S S L   0 3   D e t e c t e d " ; c o n t e n t : " | 1 7   0 3   0 1   0 0   0 8 | " ;     p c r e : " / x 1 7 x 0 3 x 0 1 x 0 0 x 0 8 . { 4 } x b 2 x 6 3 x 7 0 x 7 b / " ;   r e v : 1 ;   s i d : 4 ; ) _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ a l e r t   t c p   a n y   a n y   - >   a n y   a n y   ( m s g : " M a l i c i o u s   S S L   0 4   D e t e c t e d " ; c o n t e n t : " | 1 7   0 3   0 1   0 0   0 8 | " ;     p c r e : " / x 1 7 x 0 3 x 0 1 x 0 0 x 0 8 . { 4 } x b 0 x 6 3 x 7 0 x 7 b / " ;   r e v : 1 ;   s i d : 5 ; ) r u l e   r c 4 _ s t a c k _ k e y _ f a l l c h i l l { m e t a :         d e s c r i p t i o n   =   " r c 4 _ s t a c k _ k e y " s t r i n g s :         $ s t a c k _ k e y   =   {   0 d   0 6   0 9   2 a   ? ?   ? ?   ? ?   ? ?   8 6   4 8   8 6   f 7   ? ?   ? ?   ? ?   ? ?   0 d   0 1   0 1   0 1   ? ?   ? ?   ? ?   ? ?   0 5   0 0   0 3   8 2   4 1   8 b   c 9   4 1   8 b   d 1   4 9   8 b   4 0   0 8   4 8   f f   c 2   8 8   4 c   0 2   f f   f f   c 1   8 1   f 9   0 0   0 1   0 0   0 0   7 c   e b   } c o n d i t i o n :         ( u i n t 1 6 ( 0 )   = =   0 x 5 A 4 D   a n d   u i n t 1 6 ( u i n t 3 2 ( 0 x 3 c ) )   = =   0 x 4 5 5 0 )   a n d   $ s t a c k _ k e y } r u l e   s u c c e s s _ f a i l _ c o d e s _ f a l l c h i l l { m e t a :         d e s c r i p t i o n   =   " s u c c e s s _ f a i l _ c o d e s " s t r i n g s :         $ s 0   =   {   6 8   7 a   3 4   1 2   0 0   }             $ s 1   =   {   b a   7 a   3 4   1 2   0 0   }             $ f 0   =   {   6 8   5 c   3 4   1 2   0 0   }             $ f 1   =   {   b a   5 c   3 4   1 2   0 0   } c o n d i t i o n :         ( u i n t 1 6 ( 0 )   = =   0 x 5 A 4 D   a n d   u i n t 1 6 ( u i n t 3 2 ( 0 x 3 c ) )   = =   0 x 4 5 5 0 )   a n d   ( ( $ s 0   a n d   $ f 0 )   o r   ( $ s 1   a n d   $ f 1 ) ) }
访 * u s - c e r t f r e e b u f c l o u d s F r e e B u f . C O M
回复

举报

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

使用Markdown编辑器编辑 使用富文本编辑器编辑

Archiver| 手机版| 小黑屋|
Powered by Discuz! X3.4 Copyright © 2001-2020, Tencent Cloud. 商业源码建议获取授权,如侵犯您的权益,请联系客服处理