搜索

[7698] 2013-12-30_巴基斯坦遭受诱惑性文档+Office0day漏洞的APT攻击

文档创建者:s7ckTeam
浏览次数:35
最后更新:2025-01-17
2013-12-30_巴基斯坦遭受诱惑性文档+Office0day漏洞的APT攻击 + O f f i c e   0 d a y A P T F r e e B u f   2 0 1 3 - 1 2 - 3 0                 M i c r o s o f t   O f f i c e   O f f i c e   2 0 0 3 2 0 0 7     2 0 1 0 W i n d o w s   X P / 2 0 0 3                                     T I F F T I F F                                 使 R O P A c t i v e X   c o n t r o l s A c t i v e X   c o n t r o l s                                 使 U R L D o w n l o a d F i l e A H T T P p a y l o a d                                 p a y l o a d p a y l o a d O f f i c e R A R p a y l o a d C & C
p a y l o a d C & C H T T P
G E T   / l o g i t e c h / r t . p h p ? c n = X X X X X @ A d m i n i s t r a t o r & s t r = & f i l e = n o   H T T P / 1 . 1   U s e r - A g e n t :   W i n I n e t G e t / 0 . 1                 使 p a y l o a d O p e r a t i o n   H a n g o v e r 使 D e k s i l a   d o w n l o a d e r 使 H T T P p a y l o a d C : D o c u m e n t s   a n d   S e t t i n g s < u s e r n a m e > T e m p i c o n f a l l . l o g C : D o c u m e n t s   a n d   S e t t i n g s < u s e r n a m e > H d d L i n k . l n k         C : D o c u m e n t s   a n d   S e t t i n g s < u s e r n a m e > U p d a t e s . e x e C : D o c u m e n t s   a n d   S e t t i n g s < u s e r n a m e > w i n c e r t . e x e C : D o c u m e n t s   a n d   S e t t i n g s < u s e r n a m e > k a y a n i . d o c         C : D o c u m e n t s   a n d   S e t t i n g s < u s e r n a m e > S h a n t i . d o c         C : D o c u m e n t s   a n d   S e t t i n g s < u s e r n a m e > L o c a t i o n s . d o c C : D o c u m e n t s   a n d   S e t t i n g s < u s e r n a m e > I S I . d o c         C : D o c u m e n t s   a n d   S e t t i n g s < u s e r n a m e > G o o d L u c k . d o c         C : c d a t a . t x t                 C & C C & C I P C & C C & C U s e r   :   [ U S E R N A M E ]   I P   :   [ I P _ A D D R E S S ]   A V   :   [ N A M E _ O F _ A N T I V I R U S _ S O L U T I O N ]                 H T T P p a y l o a d C & C 使 p a y l o a d a l g . e x e c o n n h o s t . e x e l g f x s r c . e x e l g f x s r v . e x e
l g f x s r v c . e x e m s c t c d . e x e s v c h o s t . e x e t a s k m g r . e x e t a s k n g r . e x e w a u l c t . e x e w i m h o s t . e x e w i n l o g . e x e w i n l o g o n . e x e w i n n i t . e x e w i n s o u n . e x e w i n w o r d . e x e w m p i . e x e w s q m o c n . e x e M D 5 0 d 5 1 2 9 6 e 5 c 7 4 a 2 2 3 3 9 e c 8 b 7 e 3 1 8 f 2 7 4 a 1 0 1 8 5 2 8 5 1 d 7 0 d f c 4 6 c 4 d 0 2 2 e f 0 7 7 d 5 8 6 2 e d 6 a 6 c 3 4 9 c a e 3 8 4 2 0 2 3 d 8 3 c 6 b 1 e d 1 c 5 4 e 8 7 8 b 1 3 4 5 9 f 6 5 2 a 9 9 1 6 8 a a d 2 d c e 7 c 9 a 6 5 4 f 5 5 8 c f 8 2 4 e 9 8 d d e 0 9 b 1 9 7 d b d f d 4 0 7 6 a 5 7 c d a 6 7 9 3 9 8 0 6 3 5 9 a 0 3 a 8 6 f d 0 e a b c 2 8 3 7 8 a b b 6 3 d a 7 e 6 7 8 c 7 6 c 0 9 f 4 4 b 4 3 d 0 2 a e 7 5 a d 6 c 8 4 8 4 f 5 2 4 d 9 3 e a f 2 4 9 7 7 0 b e 6 9 9 f d 5 1 d c 5 f 1 6 8 3 c 6 6 6 a 4 9 2 5 a f 8 f 1 3 6 1 d 5 d f d 7 5 a 2 3 d 8 b 3 3 4 5 e 5 5 0 c 4 a 9 b b c 6 d d 2 a 0 e                 C & C p a y l o a d V i r u s t o t a l f d 7 5 a 2 3 d 8 b 3 3 4 5 e 5 5 0 c 4 a 9 b b c 6 d d 2 a 0 e     1   /   4 7         6 a 5 7 c d a 6 7 9 3 9 8 0 6 3 5 9 a 0 3 a 8 6 f d 0 e a b c 2     1   /   4 7         4 e 8 7 8 b 1 3 4 5 9 f 6 5 2 a 9 9 1 6 8 a a d 2 d c e 7 c 9 a     1   /   4 7         2 e d 6 a 6 c 3 4 9 c a e 3 8 4 2 0 2 3 d 8 3 c 6 b 1 e d 1 c 5     0   /   4 7                 p a y l o a d I O C s ( I n d i c a t o r s   O f   C o m p r o m i s e ) M a i n   D o w n l o a d e r H T T P   G E T         / l o g i t e c h / r t . p h p ? c n = x x @ < u s e r n a m e > & s t r = & f i l e = n o           / g r e e n / s r t . p h p ? c n = x x @ < u s e r n a m e > & s t r = & f i l e = n o         / f u n b o x / r t . p h p ? c n = < M A C H I N E _ N A M E > @ < U S E R > & s t r = & f i l e = n o         / j o y / r t . p h p ? c n = < M A C H I N E _ N A M E > @ < U S E R > & s t r = & f i l e = n o & s t r = & f i l e = n o Y a r a r u l e   H a n g o v e r 2 _ D o w n l o a d e   {     s t r i n g s :         $ a   =   " W i n I n e t G e t / 0 . 1 "   w i d e   a s c i i         $ b   =   " E x c e p   w h i l e   u p "   w i d e   a s c i i         $ c   =   " & f i l e = "   w i d e   a s c i i         $ d   =   " & s t r = "   w i d e   a s c i i         $ e   =   " ? c n = "   w i d e   a s c i i     c o n d i t i o n :
        a l l   o f   t h e m } C & C x l s , x l s x d o c , d o c x p p t , p p t x p d f t x t P O S T   / c r k s . p h p   H T T P / 1 . 1   C o n t e n t - L e n g t h :   4 4   C o n t e n t - T y p e :   a p p l i c a t i o n / x - w w w - f o r m - u r l e n c o d e d   U s e r - A g e n t :   M y W e b C l i e n t   H o s t :   x x x   C o n n e c t i o n :   K e e p - A l i v e   P O S T   / d r k l . p h p   H T T P / 1 . 1   C o n t e n t - L e n g t h :   4 4   C o n t e n t - T y p e :   a p p l i c a t i o n / x - w w w - f o r m - u r l e n c o d e d   U s e r - A g e n t :   M y W e b C l i e n t   H o s t :   x x x   C o n n e c t i o n :   K e e p - A l i v e   P O S T   / m a x . p h p   H T T P / 1 . 1   C o n t e n t - L e n g t h :   4 9   C o n t e n t - T y p e :   a p p l i c a t i o n / x - w w w - f o r m - u r l e n c o d e d   U s e r - A g e n t :   M y W e b C l i e n t   H o s t :   x x x   C o n n e c t i o n :   K e e p - A l i v e Y a r a r u l e   H a n g o v e r 2 _ s t e a l e r {     s t r i n g s :         $ a   =   " M y W e b C l i e n t "   w i d e   a s c i i         $ b   =   " L o c a t i o n :   { [ 0 - 9 ] + } "   w i d e   a s c i i         $ c   =   " [ % s ] : [ C - % s ] : [ A - % s ] : [ W - % s ] : [ S - % d ] "   w i d e   a s c i i       c o n d i t i o n :         a l l   o f   t h e m } 5 8 5 8 使 T   V I C T I M : 1 0 5 0   - >   C & C : 5 8 5 8   [ A ]     F H E P F                                             # T   V I C T I M : 5 8 5 8   - >   C & C : 1 0 5 0   [ A P ]     P a s s                                                 # T   V I C T I M : 1 0 5 0   - >   C & C : 5 8 5 8   [ A P ]     A u t h j a n e t t e d o e   @   [ M A C H I N E _ N A M E ] # / [ O P E R A T I N G _ S Y S T E M ] # / [ I P _ A D D R E S S ] # / Y a r a r u l e   H a n g o v e r 2 _ b a c k d o o r _ s h e l l {     s t r i n g s :         $ a   =   " S h e l l   s t a r t e d   a t :   "   w i d e   a s c i i         $ b   =   " S h e l l   c l o s e d   a t :   "   w i d e   a s c i i         $ c   =   " S h e l l   i s   a l r e a d y   c l o s e d ! "   w i d e   a s c i i         $ d   =   " S h e l l   i s   n o t   R u n n i n g ! "   w i d e   a s c i i
      c o n d i t i o n :         a l l   o f   t h e m } H K C U S o f t w a r e M i c r o s o f t W i n d o w s C u r r e n t V e r s i o n R u n   / v   W i n L s t a r t H O O k Y a r a r u l e   H a n g o v e r 2 _ K e y l o g g e r {     s t r i n g s :         $ a   =   " i c o n f a l l "   w i d e   a s c i i         $ b   =   " / c   i p c o n f i g   / a l l   >   " "   w i d e   a s c i i         $ c   =   " G l o b a l { C H K A J E S K R B 9 - 3 5 N A 7 - 9 4 Y 4 3 6 G 3 7 K G T } "   w i d e   a s c i i     c o n d i t i o n :         a l l   o f   t h e m } C & C 使 使 I P k r i c k m a r t . c o m 3 7 . 0 . 1 2 5 . 7 7 3 7 . 0 . 1 2 4 . 1 0 6 m a p t o n o t e . c o m m y f l a t n e t . c o m l a m p u r . c o m a p p w o r l d s t o r e s . c o m s i m i l e r w o r k . n e t i n t e r t e c h s u p p o r t . n e t l a m p u r . c o m t w i k s t o r e . c o m
回复

举报

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver| 手机版| 小黑屋|
Powered by Discuz! X3.4 Copyright © 2001-2020, Tencent Cloud. 商业源码建议获取授权,如侵犯您的权益,请联系客服处理