论坛
BBS
空间测绘
发表
发布文章
提问答疑
搜索
您还未登录
登录后即可体验更多功能
立即登录
我的收藏
提问答疑
我要投稿
IOT
[13934] 2019-03-31_海莲花组织针对中国APT攻击的最新样本分析
文档创建者:
s7ckTeam
浏览次数:
4
最后更新:
2025-01-18
IOT
4 人阅读
|
0 人回复
s7ckTeam
s7ckTeam
当前离线
积分
-54
6万
主题
-6万
回帖
-54
积分
管理员
积分
-54
发消息
2019-03-31_海莲花组织针对中国APT攻击的最新样本分析
海
莲
花
组
织
针
对
中
国
A
P
T
攻
击
的
最
新
样
本
分
析
a
n
t
i
y
l
a
b
F
r
e
e
B
u
f
2
0
1
9
-
0
3
-
3
1
概
述
概
述
安
天
安
天
C
E
R
T
(
安
全
研
究
与
应
急
处
理
中
心
)
在
(
安
全
研
究
与
应
急
处
理
中
心
)
在
2
0
1
8
年
年
1
2
月
至
今
,
捕
获
多
例
针
对
中
国
用
户
的
恶
意
宏
文
档
攻
击
样
本
。
月
至
今
,
捕
获
多
例
针
对
中
国
用
户
的
恶
意
宏
文
档
攻
击
样
本
。
这
些
恶
意
文
档
通
过
在
模
糊
的
文
字
背
景
上
伪
装
出
杀
毒
软
件
的
安
全
检
测
结
果
,
诱
导
受
害
者
启
用
恶
意
宏
代
码
,
向
这
些
恶
意
文
档
通
过
在
模
糊
的
文
字
背
景
上
伪
装
出
杀
毒
软
件
的
安
全
检
测
结
果
,
诱
导
受
害
者
启
用
恶
意
宏
代
码
,
向
W
o
r
d
进
程
自
身
注
入
进
程
自
身
注
入
S
h
e
l
l
c
o
d
e
,
最
终
在
内
存
中
解
密
和
运
行
后
门
程
序
。
根
据
对
该
后
门
的
深
入
分
析
,
我
们
发
现
该
样
本
来
自
,
最
终
在
内
存
中
解
密
和
运
行
后
门
程
序
。
根
据
对
该
后
门
的
深
入
分
析
,
我
们
发
现
该
样
本
来
自
海
莲
花
组
织
。
海
莲
花
组
织
。
安
天
于
2
0
1
5
年
5
月
2
7
日
发
布
关
于
该
组
织
的
分
析
报
告
引
发
业
内
对
该
组
织
的
持
续
关
注
。
鉴
于
安
天
在
当
时
所
捕
获
的
攻
击
中
,
发
现
了
攻
击
方
使
用
了
商
用
攻
击
平
台
C
o
b
a
l
t
S
t
r
i
k
e
,
安
天
将
其
命
名
为
A
P
T
-
T
O
C
S
(
即
借
助
C
S
平
台
的
A
P
T
攻
击
组
织
)
,
但
由
于
使
用
C
S
只
是
该
攻
击
组
织
的
一
个
特
点
,
且
缺
乏
组
织
命
名
的
地
缘
特
点
,
因
此
,
我
们
后
续
采
用
了
友
商
3
6
0
的
命
名
—
—
“
海
莲
花
”
。
本
次
发
现
样
本
与
2
0
1
8
年
1
2
月
E
S
E
T
曝
光
过
的
海
莲
花
专
用
后
门
极
为
相
似
,
而
通
过
对
后
门
样
本
的
C
2
进
行
关
联
,
我
们
发
现
了
更
多
通
过
恶
意
自
解
压
程
序
传
播
该
后
门
的
样
本
。
其
中
部
分
样
本
针
对
中
国
,
更
多
的
样
本
则
针
对
柬
埔
寨
等
多
国
。
部
分
自
解
压
样
本
传
播
的
后
门
,
其
C
2
直
接
连
接
到
了
已
知
的
海
莲
花
组
织
的
网
络
基
础
设
施
。
根
据
专
用
后
门
和
网
络
基
础
设
施
这
两
方
面
的
强
关
联
性
,
我
们
有
理
由
相
信
这
些
样
本
关
联
的
攻
击
行
动
是
海
莲
花
A
P
T
组
织
所
为
。
样
本
分
析
样
本
分
析
2
.
1
样
本
标
签
样
本
标
签
相
关
攻
击
载
荷
均
为
W
o
r
d
文
档
,
但
并
未
使
用
漏
洞
。
而
是
在
其
中
嵌
入
恶
意
宏
代
码
,
通
过
宏
代
码
触
发
后
续
恶
意
行
为
,
最
终
向
目
标
主
机
植
入
后
门
,
这
是
一
个
阶
段
以
来
较
为
流
行
的
方
式
。
攻
击
者
为
使
受
害
目
标
启
用
宏
代
码
,
在
文
档
正
文
中
通
过
一
段
欺
骗
性
内
容
诱
导
用
户
点
击
“
启
用
内
容
”
从
而
触
发
恶
意
宏
代
码
执
行
,
我
们
从
这
批
样
本
中
列
举
其
中
两
个
的
情
报
标
签
:
表
2
‑
1
恶
意
文
档
1
病
毒
名
称
病
毒
名
称
T
r
o
j
a
n
/
W
i
n
3
2
.
V
B
.
d
r
o
p
p
e
r
原
始
文
件
名
原
始
文
件
名
2
0
1
8
年
公
司
总
结
报
告
补
充
建
议
.
d
o
c
文
件
大
小
文
件
大
小
2
.
0
3
M
B
(
2
,
1
2
7
,
3
6
0
b
y
t
e
s
)
文
件
格
式
文
件
格
式
D
o
c
u
m
e
n
t
/
M
i
c
r
o
s
o
f
t
.
W
o
r
d
创
建
时
间
创
建
时
间
2
0
1
8
-
1
2
-
2
6
0
3
:
5
3
:
0
0
最
后
修
改
时
间
最
后
修
改
时
间
2
0
1
8
-
1
2
-
2
6
0
3
:
5
3
:
0
0
文
档
创
建
主
机
名
文
档
创
建
主
机
名
A
d
m
i
n
代
码
页
代
码
页
L
a
t
i
n
I
V
T
*
*
首
次
上
传
时
间
*
*
2
0
1
9
-
0
3
-
0
7
0
4
:
4
4
:
0
6
V
T
*
*
检
测
结
果
*
*
1
0
/
5
5
表
2
‑
2
恶
意
文
档
2
病
毒
名
称
病
毒
名
称
T
r
o
j
a
n
/
W
i
n
3
2
.
V
B
.
d
r
o
p
p
e
r
文
件
大
小
文
件
大
小
2
.
9
4
M
B
(
3
,
0
8
3
,
7
7
6
b
y
t
e
s
)
文
件
格
式
文
件
格
式
D
o
c
u
m
e
n
t
/
M
i
c
r
o
s
o
f
t
.
W
o
r
d
创
建
时
间
创
建
时
间
2
0
1
9
-
0
1
-
2
4
0
2
:
3
9
:
0
0
最
后
修
改
时
间
最
后
修
改
时
间
2
0
1
9
-
0
1
-
2
4
0
2
:
3
9
:
0
0
文
档
创
建
主
机
名
文
档
创
建
主
机
名
A
d
m
i
n
代
码
页
代
码
页
L
a
t
i
n
I
V
T
*
*
首
次
上
传
时
间
*
*
2
0
1
9
-
0
3
-
0
8
0
6
:
4
7
:
2
7
V
T
*
*
检
测
结
果
*
*
1
0
/
5
9
病
毒
名
称
病
毒
名
称
T
r
o
j
a
n
/
W
i
n
3
2
.
V
B
.
d
r
o
p
p
e
r
2
.
2
技
术
分
析
技
术
分
析
相
关
文
档
样
本
采
用
了
社
会
工
程
技
巧
,
伪
装
出
3
6
0
杀
软
的
安
全
检
测
结
果
,
诱
导
受
害
者
启
用
附
带
的
恶
意
宏
,
其
正
文
内
容
见
图
2
-
1
、
图
2
-
2
所
示
。
图
2
-
1
恶
意
文
档
1
截
图
图
2
-
2
恶
意
文
档
2
截
图
恶
意
样
本
中
包
含
被
混
淆
的
v
b
脚
本
,
解
混
淆
后
发
现
此
脚
本
作
用
为
:
1
.
复
制
当
前
文
件
到
%
t
e
m
p
%
文
件
夹
下
。
2
.
获
取
并
解
密
第
二
段
脚
本
,
试
图
写
入
注
册
表
(
”
H
K
E
Y
_
C
U
R
R
E
N
T
_
U
S
E
R
S
o
f
t
w
a
r
e
M
i
c
r
o
s
o
f
t
O
f
f
i
c
e
1
4
.
0
W
o
r
d
S
e
c
u
r
i
t
y
A
c
c
e
s
s
V
B
O
M
”
)
。
此
注
册
表
值
为
1
时
,
允
许
对
文
档
的
v
b
模
块
进
行
访
问
和
修
改
,
如
下
图
所
示
:
图
2
-
3
读
取
并
修
改
注
册
表
3
.
打
开
%
t
e
m
p
%
下
已
复
制
的
文
档
,
移
除
文
档
中
已
存
在
的
v
b
模
块
,
写
入
新
模
块
(
图
2
-
4
)
:
图
2
-
4
修
改
已
复
制
文
件
4
.
打
开
已
复
制
文
档
调
用
v
b
模
块
中
的
“
x
_
N
0
t
h
1
n
g
H
3
r
3
”
函
数
如
下
图
所
示
,
之
后
,
恶
意
文
档
显
示
一
个
虚
假
消
息
,
如
图
2
-
5
、
图
2
-
6
所
示
:
图
2
-
5
调
用
v
b
函
数
图
2
-
6
虚
假
消
息
显
示
第
二
段
脚
本
与
第
一
段
脚
本
有
颇
多
相
似
之
处
,
解
密
第
三
段
脚
本
,
然
后
其
通
过
设
置
注
册
表
,
获
得
对
自
身
v
b
资
源
修
改
的
能
力
,
并
在
文
档
自
身
中
加
入
第
三
段
脚
本
:
图
2
-
7
第
二
段
脚
本
主
要
功
能
(
脚
本
已
反
混
淆
)
第
三
段
脚
本
解
密
出
s
h
e
l
l
c
o
d
e
,
并
将
其
注
入
到
w
i
n
w
o
r
d
.
e
x
e
进
程
中
。
脚
本
入
口
函
数
仍
然
命
名
为
“
x
_
N
0
t
h
1
n
g
H
3
r
3
”
,
此
函
数
会
区
分
6
4
位
或
3
2
位
进
程
,
采
用
适
当
方
式
进
行
进
程
注
入
:
图
2
-
8
6
4
位
进
程
注
入
的
前
期
准
备
图
2
-
9
3
2
位
进
程
注
入
的
前
期
准
备
注
入
进
程
的
代
码
有
9
0
8
K
B
(
9
2
9
,
7
9
2
字
节
)
,
经
过
深
入
分
析
发
现
,
这
段
注
入
的
代
码
会
引
导
运
行
最
终
的
后
门
程
序
,
该
后
门
已
于
2
0
1
8
年
1
2
月
被
E
S
E
T
曝
光
,
为
海
莲
花
组
织
所
开
发
使
用
。
后
门
程
序
的
原
始
名
称
为
“
{
A
9
6
B
0
2
0
F
-
0
0
0
0
-
4
6
6
F
-
A
9
6
D
-
A
9
1
B
B
F
8
E
A
C
9
6
}
.
d
l
l
”
,
见
下
图
:
图
2
-
1
0
后
门
程
序
在
内
存
中
的
信
息
后
门
首
先
进
行
初
始
化
,
将
资
源
节
R
C
D
a
t
a
加
载
至
内
存
中
,
解
密
出
配
置
数
据
和
库
文
件
:
图
2
-
1
1
后
门
资
源
节
包
含
的
R
C
4
加
密
数
据
其
解
密
出
的
数
据
内
容
:
图
2
-
1
2
内
存
中
解
密
的
配
置
数
据
和
库
文
件
图
2
-
1
2
中
从
上
至
下
的
内
容
依
次
代
表
:
1
.
注
册
表
位
置
:
这
两
处
注
册
表
的
键
值
存
放
后
门
C
2
返
回
给
受
害
主
机
的
唯
一
U
U
I
D
,
作
为
s
e
s
s
i
o
n
I
D
,
以
实
际
调
试
为
例
:
3
2
0
3
4
d
3
3
-
a
e
c
c
-
4
7
d
4
-
9
d
c
d
-
f
0
e
5
6
0
6
3
0
8
7
f
。
2
.
h
t
t
p
p
r
o
v
库
文
件
,
用
于
支
持
H
T
T
P
/
H
T
T
P
S
/
S
O
C
K
S
的
方
式
同
C
2
通
信
,
与
l
i
b
c
u
r
l
静
态
链
接
。
初
始
化
完
成
后
,
后
门
开
始
通
过
H
T
T
P
协
议
P
O
S
T
方
式
,
依
次
与
C
2
列
表
中
可
用
的
C
2
通
讯
。
H
T
T
P
通
讯
的
U
s
e
r
A
g
e
n
t
为
:
’
M
o
z
i
l
l
a
/
4
.
0
(
c
o
m
p
a
t
i
b
l
e
;
M
S
I
E
8
.
0
;
W
i
n
d
o
w
s
N
T
6
.
0
;
T
r
i
d
e
n
t
/
4
.
0
)
’
。
图
2
-
1
3
后
门
同
C
2
通
讯
的
硬
编
码
U
s
e
r
A
g
e
n
t
3
.
后
门
会
针
对
受
害
主
机
生
成
一
个
指
纹
,
其
支
持
的
功
能
包
括
:
进
程
操
作
、
注
册
表
操
作
、
获
取
硬
盘
信
息
、
本
地
文
件
操
作
、
释
放
和
执
行
程
序
、
内
存
注
入
等
,
同
之
前
E
S
E
T
曝
光
的
版
本
没
有
大
的
变
化
。
如
下
图
所
示
,
c
a
s
e
0
x
1
移
动
文
件
、
c
a
s
e
0
x
3
获
取
硬
盘
信
息
、
在
c
a
s
e
0
、
2
、
4
、
5
还
包
含
:
0
x
e
文
件
遍
历
、
0
x
f
删
除
文
件
、
0
x
1
2
创
建
文
件
夹
、
0
x
1
3
删
除
文
件
夹
。
图
2
-
1
4
后
门
指
令
分
支
本
次
捕
获
的
海
莲
花
样
本
较
以
往
在
技
术
手
段
上
有
了
一
定
程
度
的
提
高
,
使
用
宏
代
码
进
行
S
h
e
l
l
c
o
d
e
注
入
,
其
投
放
载
荷
的
全
程
无
文
件
落
地
,
可
以
看
出
海
莲
花
组
织
仍
然
在
积
极
更
新
自
身
攻
击
手
法
,
试
图
使
自
己
更
加
隐
蔽
,
进
而
图
谋
更
长
久
的
潜
伏
于
受
害
者
机
器
。
三
、
关
联
分
析
三
、
关
联
分
析
在
分
析
后
门
C
2
唯
一
解
析
I
P
:
4
5
.
1
2
2
.
.
的
时
候
,
我
们
注
意
到
了
该
I
P
曾
被
一
个
伪
装
成
A
d
o
b
e
R
e
a
d
e
r
主
程
序
的
恶
意
自
解
压
程
序
“
A
c
r
o
R
d
3
2
.
e
x
e
”
作
为
C
2
连
接
使
用
:
图
3
-
1
后
门
C
2
关
联
到
的
自
解
压
程
序
该
R
A
R
自
解
压
程
序
上
传
时
的
文
件
名
为
“
李
建
香
(
个
人
简
历
)
.
e
x
e
”
,
最
后
修
改
时
间
同
恶
意
文
档
1
较
为
接
近
,
图
标
伪
装
成
A
d
o
b
e
R
e
a
d
e
r
。
运
行
后
通
过
“
r
e
g
s
v
r
3
2
”
命
令
注
册
运
行
恶
意
控
件
,
然
后
打
开
提
示
加
密
的
中
文
P
D
F
文
档
,
由
于
当
前
未
获
取
密
码
,
未
能
知
悉
正
文
内
容
,
但
目
前
看
来
该
P
D
F
文
档
是
无
恶
意
行
为
的
。
H
K
E
Y
_
C
U
R
R
E
N
T
_
U
S
E
R
S
o
f
t
w
a
r
e
A
p
p
A
p
p
X
7
0
1
6
2
4
8
6
c
7
5
5
4
f
7
f
8
0
f
4
8
1
9
8
5
d
6
7
5
8
6
d
A
p
p
l
i
c
a
t
i
o
n
H
K
E
Y
_
C
U
R
R
E
N
T
_
U
S
E
R
S
o
f
t
w
a
r
e
A
p
p
A
p
p
X
7
0
1
6
2
4
8
6
c
7
5
5
4
f
7
f
8
0
f
4
8
1
9
8
5
d
6
7
5
8
6
d
D
e
f
a
u
l
t
I
c
o
n
图
3
-
2
C
2
关
联
到
的
2
0
1
8
年
1
2
月
攻
击
中
国
的
自
解
压
样
本
通
过
样
本
关
联
我
们
找
到
了
更
早
的
时
间
内
,
使
用
相
同
手
法
攻
击
柬
埔
寨
等
国
的
自
解
压
样
本
:
图
3
-
3
2
0
1
8
年
7
月
相
同
手
法
攻
击
越
南
的
样
本
图
3
-
4
2
0
1
8
年
8
月
V
i
r
u
s
T
o
t
a
l
平
台
上
与
柬
埔
寨
通
过
网
页
上
传
的
相
同
手
法
的
恶
意
样
本
图
3
-
5
2
0
1
9
年
1
月
攻
击
目
标
未
知
的
相
同
手
法
样
本
目
前
发
现
的
所
有
相
关
自
解
压
样
本
,
其
图
标
都
伪
装
成
A
d
o
b
e
R
e
a
d
e
r
、
O
f
f
i
c
e
和
图
片
等
,
部
分
样
本
的
文
件
名
还
会
伪
装
成
诸
如
:
“
A
c
r
o
R
d
3
2
.
e
x
e
”
、
“
E
x
c
e
l
.
e
x
e
”
、
“
W
i
n
W
o
r
d
.
e
x
e
”
等
:
图
3
-
6
自
解
压
程
序
样
本
的
图
标
伪
装
它
们
包
含
的
图
片
和
W
o
r
d
文
档
也
都
是
正
常
文
件
,
作
用
是
成
功
运
行
恶
意
载
荷
后
分
散
受
害
者
的
注
意
力
。
所
有
自
解
压
样
本
中
包
含
的
恶
意
O
C
X
控
件
的
作
用
,
是
在
内
存
中
解
密
和
调
用
最
终
的
后
门
,
我
们
将
提
取
出
的
所
有
后
门
样
本
同
第
2
节
中
恶
意
文
档
释
放
的
后
门
进
行
代
码
比
对
,
发
现
彼
此
都
高
度
一
致
,
基
本
能
确
认
具
有
相
同
的
来
源
。
其
中
部
分
后
门
的
C
2
连
接
到
了
已
知
的
海
莲
花
组
织
的
网
络
基
础
设
施
:
1
5
4
.
1
6
.
.
该
I
P
曾
被
多
家
安
全
厂
商
多
次
曝
光
,
为
海
莲
花
组
织
长
期
维
护
和
使
用
。
小
结
小
结
通
过
以
上
分
析
,
海
莲
花
组
织
近
期
依
然
保
持
活
跃
。
其
针
对
中
国
乃
至
东
南
亚
多
国
用
户
发
动
攻
击
,
通
过
投
放
带
有
恶
意
宏
的
文
档
和
自
解
压
程
序
最
终
传
播
海
莲
花
组
织
的
专
用
后
门
达
成
对
目
标
的
长
期
控
制
和
信
息
窃
取
。
从
使
用
的
后
门
武
器
和
网
络
基
础
设
施
(
其
中
部
分
后
门
则
直
接
连
接
上
了
已
知
的
海
莲
花
组
织
的
网
络
基
础
设
施
)
的
特
性
分
析
,
相
关
证
据
都
能
表
明
这
些
样
本
来
自
海
莲
花
攻
击
组
织
。
如
我
们
此
前
在
“
2
0
1
8
年
网
络
威
胁
年
报
(
预
发
布
)
”
指
出
的
一
样
,
当
前
“
通
过
分
析
曝
光
的
方
式
迫
使
A
P
T
攻
击
组
织
行
为
收
敛
”
的
效
果
已
经
大
打
折
扣
,
相
关
攻
击
方
在
C
2
基
础
设
施
地
址
已
经
暴
露
后
,
依
然
继
续
使
用
则
是
一
个
明
证
。
这
一
方
面
可
以
使
我
们
放
弃
简
单
的
敲
山
震
虎
,
就
可
以
让
敌
人
退
避
三
舍
的
幻
想
;
另
一
方
面
,
也
增
加
了
一
般
化
能
力
的
高
级
威
胁
行
为
体
,
攻
击
行
为
的
暴
露
面
,
为
排
查
分
析
和
进
一
步
猎
杀
提
供
了
一
定
的
机
会
和
条
件
。
安
天
的
产
品
体
系
通
过
长
期
自
主
研
发
的
A
V
L
S
D
K
“
下
一
代
反
病
毒
引
擎
”
实
现
全
格
式
识
别
与
深
度
解
析
、
复
合
文
档
拆
解
、
宏
的
抽
取
;
智
甲
终
端
防
御
系
统
在
主
机
侧
多
个
防
御
点
上
实
现
检
测
和
拦
截
;
探
海
威
胁
检
测
系
统
在
流
量
侧
进
行
实
现
攻
击
行
为
检
测
、
载
荷
捕
获
检
测
解
析
;
各
环
节
发
现
的
未
知
文
件
均
可
联
动
追
影
沙
箱
进
行
分
析
,
输
出
威
胁
情
报
规
则
,
在
部
署
于
具
有
较
好
的
可
管
理
性
网
络
体
系
中
时
,
能
较
好
的
应
对
类
似
等
级
的
攻
击
风
险
。
安
天
现
有
产
品
客
户
可
通
过
订
阅
“
高
级
威
胁
追
溯
包
”
,
进
行
进
一
步
的
风
险
追
溯
排
查
。
但
如
应
对
更
高
水
平
的
攻
击
,
则
进
一
步
需
要
实
战
化
运
行
的
战
术
型
态
势
感
知
平
台
实
现
全
局
指
控
,
掌
控
敌
情
,
协
同
响
应
。
*
本
文
作
者
:
本
文
作
者
:
a
n
t
i
y
l
a
b
,
转
载
请
注
明
来
自
,
转
载
请
注
明
来
自
F
r
e
e
B
u
f
.
C
O
M
阅
读
原
文
回复
举报
上一个主题
下一个主题
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
!disable!!post_parseurl!
使用Markdown编辑器编辑
使用富文本编辑器编辑
回帖后跳转到最后一页
发表
IOT