论坛
BBS
空间测绘
发表
发布文章
提问答疑
搜索
您还未登录
登录后即可体验更多功能
立即登录
我的收藏
提问答疑
我要投稿
漏洞
[12646] 2018-04-30_APT团伙(APT-C-01)新利用漏洞样本分析及关联挖掘
文档创建者:
s7ckTeam
浏览次数:
9
最后更新:
2025-01-18
漏洞
9 人阅读
|
0 人回复
s7ckTeam
s7ckTeam
当前离线
积分
-54
6万
主题
-6万
回帖
-54
积分
管理员
积分
-54
发消息
2018-04-30_APT团伙(APT-C-01)新利用漏洞样本分析及关联挖掘
A
P
T
团
伙
(
A
P
T
-
C
-
0
1
)
新
利
用
漏
洞
样
本
分
析
及
关
联
挖
掘
3
6
0
天
眼
实
验
室
F
r
e
e
B
u
f
2
0
1
8
-
0
4
-
3
0
背
景
背
景
A
P
T
-
C
-
0
1
组
织
是
一
个
长
期
针
对
国
内
国
防
、
政
府
、
科
技
和
教
育
领
域
的
重
要
机
构
实
施
网
络
间
谍
攻
击
活
动
的
组
织
是
一
个
长
期
针
对
国
内
国
防
、
政
府
、
科
技
和
教
育
领
域
的
重
要
机
构
实
施
网
络
间
谍
攻
击
活
动
的
A
P
T
团
团
伙
,
其
最
早
的
攻
击
活
动
可
以
追
溯
到
伙
,
其
最
早
的
攻
击
活
动
可
以
追
溯
到
2
0
0
7
年
,
年
,
3
6
0
威
胁
情
报
中
心
对
该
团
伙
的
活
动
一
直
保
持
着
持
续
的
跟
踪
。
团
伙
擅
威
胁
情
报
中
心
对
该
团
伙
的
活
动
一
直
保
持
着
持
续
的
跟
踪
。
团
伙
擅
长
对
目
标
实
施
鱼
叉
攻
击
和
水
坑
攻
击
,
植
入
修
改
后
的
长
对
目
标
实
施
鱼
叉
攻
击
和
水
坑
攻
击
,
植
入
修
改
后
的
Z
X
S
h
e
l
l
、
、
P
o
i
s
o
n
I
v
y
、
、
X
R
A
T
商
业
木
马
,
并
使
用
动
态
域
名
作
商
业
木
马
,
并
使
用
动
态
域
名
作
为
其
控
制
基
础
设
施
。
为
其
控
制
基
础
设
施
。
3
6
0
威
胁
情
报
中
心
对
日
常
的
在
野
恶
意
代
码
跟
踪
流
程
中
发
现
疑
似
针
对
性
的
A
P
T
攻
击
样
本
,
通
过
对
恶
意
代
码
的
深
入
分
析
,
利
用
威
胁
情
报
中
心
数
据
平
台
,
确
认
其
与
内
部
长
期
跟
踪
的
A
P
T
-
C
-
0
1
团
伙
存
在
关
联
,
并
且
结
合
威
胁
情
报
数
据
挖
掘
到
了
该
团
伙
更
多
的
定
向
攻
击
活
动
。
木
马
分
析
木
马
分
析
基
于
开
源
威
胁
情
报
,
3
6
0
威
胁
情
报
中
心
发
现
h
t
t
p
:
/
/
*
*
*
*
*
e
i
n
f
o
.
s
e
r
v
e
g
a
m
e
.
o
r
g
域
名
地
址
托
管
了
多
个
攻
击
恶
意
代
码
和
恶
意
H
T
A
文
件
,
其
用
于
攻
击
载
荷
的
下
载
和
分
发
。
D
r
o
p
p
e
r
分
析
分
析
通
过
结
合
对
此
恶
意
代
码
分
发
域
名
上
的
恶
意
载
荷
分
析
,
推
测
其
应
该
使
用
C
V
E
-
2
0
1
7
-
8
7
5
9
漏
洞
文
档
来
投
放
第
二
阶
段
的
攻
击
载
荷
,
由
于
目
前
暂
未
关
联
到
实
际
用
于
攻
击
活
动
的
漏
洞
文
档
文
件
,
结
合
该
团
伙
过
去
的
攻
击
特
点
,
其
应
该
是
用
于
邮
件
鱼
叉
攻
击
。
并
且
进
一
步
下
载
恶
意
的
H
T
A
文
件
,
其
执
行
P
o
w
e
r
S
h
e
l
l
指
令
下
载
L
o
a
d
e
r
程
序
,
保
存
为
o
f
f
i
c
e
u
p
d
a
t
e
.
e
x
e
并
执
行
。
L
o
a
d
e
r
分
析
分
析
根
据
L
o
a
d
e
r
程
序
中
包
含
的
字
符
串
信
息
,
制
作
者
将
其
命
名
为
S
C
L
o
a
d
e
r
B
y
W
e
b
,
版
本
信
息
为
1
.
0
版
,
从
字
面
意
思
为
从
W
e
b
获
取
的
S
h
e
l
l
c
o
d
e
L
o
a
d
e
r
程
序
。
其
用
来
下
载
执
行
s
h
e
l
l
c
o
d
e
代
码
。
L
o
a
d
e
r
程
序
首
先
会
尝
试
连
接
w
w
w
.
b
a
i
d
u
.
c
o
m
判
断
网
络
联
通
性
,
如
果
没
有
联
网
,
会
每
隔
5
秒
尝
试
连
接
一
次
,
直
至
能
联
网
。
然
后
从
h
t
t
p
:
/
/
*
*
*
*
*
e
i
n
f
o
.
s
e
r
v
e
g
a
m
e
.
o
r
g
/
t
i
n
y
1
d
e
t
v
g
h
r
t
.
t
m
p
下
载
p
a
y
l
o
a
d
,
如
图
:
接
着
判
断
文
件
是
否
下
载
成
功
,
如
果
没
有
下
载
成
功
会
休
眠
1
秒
后
,
然
后
再
次
尝
试
下
载
p
a
y
l
o
a
d
:
下
载
成
功
后
,
把
下
载
的
文
件
内
容
按
每
个
字
节
分
别
和
0
x
a
c
,
0
x
5
c
,
0
x
d
d
异
或
解
密
(
本
质
上
就
是
直
接
每
个
字
节
异
或
0
x
2
d
)
,
如
图
:
之
后
把
解
密
完
的
s
h
e
l
l
c
o
d
e
在
新
创
建
的
线
程
中
执
行
,
如
图
:
S
h
e
l
l
c
o
d
e
分
析
分
析
分
发
域
名
地
址
托
管
的
.
t
m
p
文
件
均
为
逐
字
节
异
或
的
s
h
e
l
l
c
o
d
e
,
如
下
图
为
从
分
发
域
名
下
载
的
t
i
n
y
q
1
d
e
t
v
g
h
r
t
.
t
m
p
文
件
,
该
文
件
是
和
0
x
2
d
异
或
加
密
的
数
据
。
解
密
后
发
现
是
P
o
i
s
o
n
I
v
y
生
成
的
s
h
e
l
l
c
o
d
e
,
标
志
如
下
:
通
过
分
析
测
试
P
o
i
s
o
n
I
v
y
木
马
生
成
的
s
h
e
l
l
c
o
d
e
格
式
与
该
攻
击
载
荷
中
使
用
的
s
h
e
l
l
c
o
d
e
格
式
比
较
,
得
到
每
个
配
置
字
段
在
s
h
e
l
l
c
o
d
e
中
的
位
置
和
含
义
。
其
s
h
e
l
l
c
o
d
e
配
置
字
段
的
格
式
详
细
如
下
:
在
分
析
P
o
i
s
o
n
I
v
y
中
获
取
k
e
r
n
e
l
3
2
基
址
的
代
码
逻
辑
时
,
发
现
其
不
兼
容
W
i
n
d
o
w
s
7
版
本
系
统
,
因
为
在
W
i
n
d
o
w
s
7
下
I
n
i
t
i
a
l
i
z
a
t
i
o
n
O
r
d
e
r
M
o
d
u
l
e
的
第
2
个
模
块
是
K
e
r
n
e
l
B
a
s
e
.
d
l
l
,
所
以
其
获
取
的
实
际
是
K
e
r
n
e
l
B
a
s
e
的
基
址
。
由
于
P
o
i
s
o
n
I
v
y
已
经
停
止
更
新
,
所
以
攻
击
团
伙
为
了
使
s
h
e
l
l
c
o
d
e
能
够
执
行
在
后
续
版
本
的
W
i
n
d
o
w
s
系
统
,
其
采
用
了
代
码
P
a
t
c
h
对
获
取
k
e
r
n
e
l
3
2
基
址
的
代
码
做
了
改
进
。
其
改
进
方
法
如
下
:
1
.
在
原
有
获
取
k
e
r
n
e
l
3
2
基
址
代
码
前
增
加
跳
转
指
令
跳
转
到
s
h
e
l
l
c
o
d
e
尾
部
,
其
p
a
t
c
h
代
码
增
加
在
尾
部
;
2
.
p
a
t
c
h
代
码
首
先
获
取
I
n
i
t
i
a
l
i
z
a
t
i
o
n
O
r
d
e
r
M
o
d
u
l
e
的
第
2
个
模
块
的
基
址
(
W
i
n
X
P
下
为
k
e
r
n
e
l
3
2
.
d
l
l
,
W
I
N
7
为
k
e
r
n
e
l
b
a
s
e
.
d
l
l
)
;
3
.
然
后
获
取
I
n
i
t
i
a
l
i
z
a
t
i
o
n
O
r
d
e
r
M
o
d
u
l
e
的
第
二
个
模
块
的
L
o
a
d
L
i
b
r
a
r
y
E
x
A
的
地
址
(
W
i
n
X
P
下
的
k
e
r
n
e
l
3
2
.
d
l
l
和
W
I
N
7
下
的
k
e
r
n
e
l
b
a
s
e
.
d
l
l
都
有
这
个
导
出
函
数
)
4
.
最
后
通
过
调
用
L
o
a
d
L
i
b
r
a
r
y
E
x
A
函
数
获
取
k
e
r
n
e
l
3
2
的
基
址
。
攻
击
者
针
对
s
h
e
l
l
c
o
d
e
的
p
a
t
c
h
,
使
得
其
可
以
在
不
同
的
W
i
n
d
o
w
s
系
统
版
本
通
用
。
该
s
h
e
l
l
c
o
d
e
的
功
能
主
要
是
远
控
木
马
的
控
制
模
块
,
和
C
2
通
信
并
实
现
远
程
控
制
。
这
里
我
们
在
W
i
n
7
系
统
下
模
拟
该
木
马
的
上
线
过
程
。
对
控
制
域
名
上
托
管
的
其
他
s
h
e
l
l
c
o
d
e
文
件
进
行
解
密
,
获
得
样
本
的
上
线
信
息
统
计
如
下
:
行
动
行
动
I
D
上
线
域
名
上
线
域
名
端
口
端
口
上
线
密
码
上
线
密
码
互
斥
体
互
斥
体
2
0
1
7
*
e
.
*
o
.
d
y
n
d
n
s
.
o
r
g
5
5
6
6
!
@
#
3
4
3
2
!
@
#
@
!
)
!
V
o
q
A
.
I
4
b
i
n
g
*
1
7
8
9
.
d
y
n
s
s
l
.
c
o
m
8
0
8
8
z
x
c
5
5
6
6
)
!
V
o
q
A
.
I
4
d
i
n
g
1
*
f
t
w
o
r
d
.
s
e
r
v
e
u
s
e
r
.
c
o
m
5
3
1
w
d
3
w
a
$
R
F
G
H
Y
^
%
$
)
!
V
o
q
A
.
I
4
d
i
n
g
2
*
i
l
1
6
3
.
s
e
n
d
s
m
t
p
.
c
o
m
5
3
1
w
d
3
w
a
$
R
F
G
H
Y
^
%
$
)
!
V
o
q
A
.
I
4
g
e
i
w
o
a
a
a
*
a
a
a
.
q
p
o
e
.
c
o
m
4
4
3
w
y
a
a
a
8
)
!
V
o
q
A
.
I
4
j
i
n
_
1
*
o
p
i
n
.
m
y
n
u
m
b
e
r
.
o
r
g
8
0
H
K
#
m
q
6
!
Z
+
.
)
!
V
o
q
A
.
I
4
j
i
n
_
2
*
n
g
o
n
l
y
.
r
e
b
a
t
e
s
r
u
l
e
.
n
e
t
5
3
~
@
F
A
<
9
p
2
c
*
)
!
V
o
q
A
.
I
4
j
u
s
t
d
i
e
d
w
w
w
.
s
e
r
*
.
*
d
i
e
d
.
c
o
m
8
0
p
p
t
.
1
6
8
@
)
!
V
o
q
A
.
I
4
p
o
u
h
u
i
*
h
u
i
.
*
t
a
t
i
o
n
.
o
r
g
5
3
i
n
d
e
x
#
h
e
l
p
)
!
V
o
q
A
.
I
4
t
i
n
a
_
1
*
d
a
t
e
.
o
c
r
y
.
c
o
m
8
0
1
6
8
1
6
8
)
!
V
o
q
A
.
I
4
t
i
n
a
_
2
*
p
r
p
.
e
z
u
a
.
c
o
m
5
3
1
1
6
6
8
8
)
!
V
o
q
A
.
I
4
t
o
n
y
_
1
*
u
p
d
a
t
e
.
d
y
n
a
m
i
c
-
d
n
s
.
n
e
t
8
0
0
A
@
2
q
6
0
#
2
1
)
!
V
o
q
A
.
I
4
t
o
n
y
_
2
*
p
a
t
c
h
.
d
n
s
e
t
.
c
o
m
5
3
a
Z
!
@
2
q
6
U
0
#
)
!
V
o
q
A
.
I
4
关
联
分
析
通
过
进
一
步
分
析
攻
击
载
荷
的
回
连
C
&
C
域
名
,
发
现
大
部
分
域
名
都
是
C
h
a
n
g
e
I
P
动
态
域
名
,
从
子
域
名
的
命
名
,
攻
击
者
更
喜
欢
采
用
和
O
f
f
i
c
e
,
系
统
更
新
,
1
6
3
邮
箱
和
招
聘
网
相
关
的
命
名
关
键
词
。
1
.
结
合
3
6
0
威
胁
情
报
平
台
对
C
&
C
域
名
进
行
关
联
分
析
。
这
里
我
们
对
该
团
伙
这
次
行
动
中
(
d
i
n
g
2
.
e
x
e
)
使
用
的
C
&
C
域
名
*
i
l
1
6
3
.
s
e
n
d
s
m
t
p
.
c
o
m
进
行
分
析
,
其
当
前
解
析
I
P
为
*
.
*
.
1
7
1
.
2
0
9
。
2
.
通
过
进
一
步
查
询
I
P
历
史
映
射
域
名
,
发
现
域
名
p
p
s
.
*
u
s
i
c
.
c
o
m
对
应
内
部
发
现
的
A
P
T
-
C
-
0
1
组
织
历
史
使
用
的
域
名
。
3
.
通
过
搜
索
p
p
s
.
*
u
s
i
c
.
c
o
m
这
个
域
名
,
得
到
关
联
样
本
。
该
样
本
为
该
组
织
早
期
的
攻
击
恶
意
代
码
。
4
.
查
询
该
域
名
历
史
解
析
I
P
。
5
.
对
域
名
历
史
映
射
的
I
P
地
址
.
.
1
1
4
.
1
6
1
进
行
查
询
,
发
现
*
e
1
6
5
.
z
y
n
s
.
c
o
m
域
名
,
这
个
域
名
同
样
也
是
C
h
a
n
g
e
I
P
动
态
域
名
,
并
且
曾
经
用
于
C
V
E
-
2
0
1
7
-
0
1
9
9
的
漏
洞
文
档
。
该
漏
洞
文
档
是
一
个
关
于
十
九
大
的
P
P
T
,
其
最
后
修
改
时
间
为
2
0
1
7
年
1
2
月
1
2
日
。
根
据
文
档
文
件
中
的
元
数
据
,
可
以
推
测
攻
击
者
从
网
上
检
索
到
了
“
杨
建
华
”
制
作
的
学
习
十
八
大
党
章
的
P
P
T
文
档
,
由
名
字
为
”
s
t
e
u
s
r
”
的
用
户
最
后
修
改
该
文
档
内
容
制
作
为
诱
导
文
档
。
该
漏
洞
文
档
会
下
载
执
行
一
个
H
T
A
文
件
。
回复
举报
上一个主题
下一个主题
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
!disable!!post_parseurl!
使用Markdown编辑器编辑
使用富文本编辑器编辑
回帖后跳转到最后一页
发表
漏洞