戴尔称“中国黑客”盯上日本企业欲窃知识产权?
更多全球网络安全资讯尽在E安全官网www.easyaq.com
E安全10月16日讯 戴尔旗下安全公司Secureworks®事件响应与反威胁单位™(简称CTU™)的研究人员们对BRONZE BUTLER威胁组织(或称Tick)相关活动展开调查,Secureworks公司称BRONZE BUTLER的行动表明,其长期以来一直试图渗透日本企业以窃取知识产权及其它机密数据,相关入侵活动还证明,该恶意集团的入侵目标主要集中在关键基础设施、重工业 、制造业以及国际关系网络层面。CTU™研究人员怀疑该组织可能位于中国。
CTU™研究人员将这一威胁组织的相关威胁情报划分为两大类:战略与战术。各企业高管可利用对相关持续威胁的战略评估结论判断如何有效降低所在企业内日常业务及关键资产所面临的风险。计算机网络维护人员则可利用此次事故响应调查与研究中收集到的战术信息作为指导,从而降低应对该威胁组织相关活动所投入的时间与精力。
CTU™研究的键点
分析BRONZE BUTLER的行动、目标与能力,帮助CTU™研究人员评估该组织位于中国境内的可能性。
该组织曾利用鱼叉式钓鱼攻击、战略性网络入侵(简称SWC)以及一项零日漏洞对目标系统实施入侵攻击。
在自网络中提取目标数据后,BRONZE BUTLER通常会删除其活动所留下的相关证据。不过其仍会尽可能保留对所入侵环境的持续访问能力,定期重新访问目标站点,借以发现新的数据窃取机会。
该威胁组织成员似乎有能力开发并部署其专有恶意软件工具。该组织的命令与控制(C&C)协议经过加密,因此给网络维护人员与事件响应人员带来了一定挑战。
CTU™研究发现的战略性威胁情报
分析BRONZE BUTLER组织的指向、来源以及能力,将能够确定哪些企业可能因此面临风险。此类信息能够帮助各企业就相关威胁作出战略性防御决策。
黑客组织瞄准哪些内容?
CTU™分析结果表明,BRONZE BUTLER主要针对位于日本的企业机构。该威胁组织曾经以非法入侵与关键基础设施、重工业、制造业以及国际关系相关的组织机构的网络体系。Secureworks分析师观察到,BRONZE BUTLER曾提取以下几类数据内容:
与技术与开发相关的知识产权
产品规格
敏感性业务与销售相关信息
网络与系统配置文件
邮件信息与会议记录
对于知识产权、产品规格以及企业信息的关注表明,该威胁组织正在积极收集其认为可能对竞争性企业具有实际价值的信息。而多样的目标设置则证明,BRONZE BUTLER很可能由多个具备不同优先级考量的团队或者组织共同组成。
关于BRONZE BUTLER组织的归因
以下特性使得CTU™的研究人员们认定BRONZE BUTLER很可能位于中国:
使用公开发布于某中国开发者网站上的T-SMB扫描工具
在其xxmm后门的某一早期版本中,在安装服务中使用中文字符
BRONZE BUTLER的恶意软件 Daserf 后门工具与来自中国的NCPH黑客组织之间存在记录关联,另外在中国国内法定假日期间BRONZE BUTLER的活跃度水平有所下降
中国近年来经济迅猛发展,增长速度飞快。英国前内政部国务大臣麦克·贝茨勋爵表示,中国经济增长奇迹令世界叹服。
但仍有外媒认为,中国的网络间谍组织可能是受到中国雄心勃勃的经济增长目标的有力推动,高度关注竞争性经济体所掌握的知识产权与经济情报,且积极窃取可在国内实现竞争优势的信息。
然而,中国的基础设施年支出已经超过了美国和欧盟,拥有世界上最大的高速铁路网——截止2016 年里程已达到约2万公里,是欧洲已建或在建高速铁路总长度的两倍左右。此外,自2007年以来,中国机场的数量增加了62%,高速公路总长增加了157%,集装箱码头的数量增加了132%。而另一方面,《中国互联网经济白皮书:解读中国互联网特色》显示,中国已经成为全球互联网经济的先锋,并与美国一起成为驱动全球互联网发展的双引擎。
BRONZE BUTLER组织的网络能力
BRONZE BUTLER曾使用多种广泛公开(包括Mimikatz与gsecdump)以及专用型(Daserf与Datper)工具。其似乎拥有充足的资源以长时间不断开发并替换各类专用工具。该组织开发出可生成并利用加密 C&C 通信机制的远程访问工具及恶意软件,从而提升了检测与问题缓解工作的复杂程度。另外,其组织成员亦能够流利使用日语编写指向日本本土的钓鱼邮件,并可在日语环境中成功开展攻击。
CTU™分析结果表明,BRONZE BUTLER曾经以购买形式获取到其 C&C 基础设施当中一部分方案。其基础设施当中的相当一部分立足日本运行,这可能是为了避免国际通信安全机构的监督与审查。该组织会定期更改各已入侵网络的 C&C IP地址与域名,从而限制其基础设施被列入黑名单的可能性。另外,该组织还通过访问已入侵网站补充自身运营基础设施,BRONZE BUTLER可能曾经具备专用基础设施的信息获取能力。
该组织已经被证明有能力发现一款高人气日本企业工具中存在的严重零日漏洞,而后通过扫描及利用这项漏洞无差别破坏日本国内各面向互联网的企业系统。该组织似乎首先建立初步立足点,而后有选择地对目标实施进一步入侵。该组织会关注已入侵网络的变化,并主动尝试通过修改工具及入侵方法以回避网络维护人员的审查。在长达5年时间内,其始终成功潜伏在多套已入侵网络当中且始终未被察觉。
CTU™研究发现的战术性威胁情报
事件响应行动使CTU™研究人员们得以深入了解BRONZE BUTLER在入侵期间所使用的工具与具体策略。
攻击活动使用工具调查
CTU™研究人员们已经观察到BRONZE BUTLER利用以下独有的工具方案。图一所示为该威胁组织在2012年到2017年期间所使用的部分专属工具。
图一:BRONZE BUTLER所使用恶意软件时间线。(来源:Secureworks)
Daser —这套后门具备远程shell功能,可用于执行命令、上传与下载数据、捕捉屏幕截图以及击键记录。其采用RC4加密与自定义Base64编码对HTTP流量进行混淆。CTU™研究人员们确定Daserf拥有两个版本,分别在Visual C与Delphi中编写而成。编译时间戳分析结果证明,Delphi版本属于Visual C版本的后继者。CTU™还通过分析发现,以下注册表项能够证明计算机已经受到Delphi版本Daserf的感染:
Key: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
Value: MMID =Datper — BRONZE BUTLER之所以创建这套Delphi编码RAT,可能是为了替代Daserf。Datper采用RC4加密配置以混淆HTTP流量。
xxmm (亦被称为Minzen) — 此RAT有可能属于Daserf的后继者,其通过一次性加密密钥实现AES加密HTTP通信机制。研究人员们发现,BRONZE BUTLER在其恶意活动中表现出对Datper与xxmm的使用偏好。CTU™研究人员还确定了xxmm的xxmm builder(详见图二),这表明该组织成员会根据目标定制xxmm恶意软件设置。
图二:xxmm builder当中的可定制设置。(图片来源:Secureworks)
xxmm下载器(亦被称为KVNDM) — 这款简单下载器的代码类似于主xxmm的有效载荷。
Gofarer — 这款下载器在其HTTP通信中使用“Mozilla/4.0+(compatible;+MSIE+8.0;+Windows+NT+6.1;+Trident/4.0;” User-Agent(详见图三)。
图三:Gofarer HTTP GET请求。(图片来源:Secureworks)
MSGet — 这款持久下载器利用机密传递点解析器(简称DDR)以下载并执行其它恶意有效载荷。MSGet通常从其中的硬编码URL处下载已编码二进制文件。在解码之后,MSGet会将该二进制文件保存为%TEMP%\ms
DGet — 这款简单下载器(详见图四)类似于wget Web服务器检索工具。
图四:DGet使用情况。(图片来源:Secureworks)
Screen Capture Tool — 这款工具能够捕捉受害者系统中的桌面图像(详见图五)。
图五:Screen Capture Tool使用情况。(图片来源:Secureworks)
RarStar — 这款定制化工具能够将RAR归档文件以POST数据的形式上传至特定URL处(详见图六)。RarStar会利用Base64与一套定制化XOR算法对POST数据进行编码。
图六:RarStar HTTP POST请求。(图片来源:Secureworks)
BRONZE BUTLER还曾经利用以下公开工具,但CTU™的研究人员们发现该组织对其中大部分工具作出了修改。通过分析,研究人员确定其中曾使用多种打包工具、对源代码进行功能调整并加以重新编译。
Mimikatz、Windows Credential Editor (简称WCE)、gsecdump — 这3款工具能够从内存中获取密码。
T-SMB Scan — 这款SMB扫描工具最初发布于中国某程序共享网站(pudn.com)。BRONZE BUTLER删除了其中的辅助信息功能。
WinRAR — 这款工具能够在后续操作解压出其它工具,并对所提取数据进行压缩。
从黑客组织攻击过程
37 40325 37 15287 0 0 3926 0 0:00:10 0:00:03 0:00:07 3925可以得到哪些启发?
从黑客组织攻击过程 37 40325 37 15287 0 0 3926 0 0:00:10 0:00:03 0:00:07 3925可以得到哪些启发?
事件响应行动使得CTU™研究人员能够深入了解BRONZE BUTLER在入侵期间所采取的具体策略。
交付
BRONZE BUTLER利用鱼叉式钓鱼邮件与SWC入侵目标网络,且大多借助Flash。该组织曾经利用包含Flash动画附件的钓鱼邮件下载并执行Daserf恶意软件,亦利用Flash安全漏洞进行SWC攻击。
CTU™研究人员们观察到,BRONZE BUTLER利用各已入侵网站(通常位于日本及韩国)作为其攻击基础设施的组成部分。该组织也表现出了在攻击活动中入侵并利用大量网站的实际能力。由于在同一次攻击活动中能够使用大量 C&C 服务器与多条IP地址,因此该组织似乎也在购买服务器以攻击基础设施。BRONZE BUTLER曾经面向不同目标使用特定攻击基础设施,这证明其会对运营基础设施进行主动分配,从而尽可能降低自身活动被安全研究人员归因的风险。
漏洞利用
在对2016年的入侵事件进行调查时,Secureworks事件响应人员发现,BRONZE BUTLER曾利用SKYSEA Client View(一款日本高人气企业IT资产管理产品)中当时尚未得到修复的远程代码执行漏洞(CVE-2016-7836)。SKY集团于2016年12月21日正式公布此项安全漏洞,但受害者在SKYSEA Client View默认日志(Ctlcli.log)中的条目显示,至少自2016年6月以来,该黑客组织就已经开始利用这一漏洞。
图七:SKYSEA Client View日志条目显示出CVE-2016-7836漏洞利用情况。(图片来源:Secureworks)
在将便携式连接设备——例如LTE USB调制解调器——接入企业设备时,攻击者即有机会利用此项漏洞。事实上,差旅及远程协作的日本员工经常使用便携式连接设备以接入互联网及企业VPN。然而,其中部分设备会将互联网服务供应商的全局IP地址分配给接入的笔记本电脑。恶意攻击者能够利用这一漏洞来模拟管理控制台,同时破坏笔记本电脑中的SKYSEA代理以使其暴露在互联网之上。
BRONZE BUTLER会定期进行互联网扫描,旨在发现易受攻击的主机。CTU™研究人员们证实,一部分受到入侵的系统并没有遭遇进一步破坏或者横向移动。结果表明,该威胁组织可能会将恶意软件部署到所有已发现的易受攻击系统当中,而后验证目标系统与自身关注点之间的联系,最终仅针对特定目标执行进一步活动。
安装
恶意攻击者利用多种依赖于可执行文件、PowerShell脚本或者VBS/VBE脚本的定制化下载工具,包括Gofarer、MSGet以及xxmm下载器。这些下载器使用HTTP流量,以压缩与编码格式下载其它有效载荷(例如Daserf、Dapter或者xxmm),并通常会在文件解码之后执行下载完成的恶意软件。
CTU™研究人员识别出一款下载器程序中的代码,如图八所示。此代码会在该可执行文件末尾插入“0”字符以将该文件大小提升至50到100 MB,从而尝试逃避反病毒软件的检测。在对BRONZE BUTLER攻击进行分析时,CTU™研究人员们观察到这种进行主动体积提升的文件确实能够逃过多种反病毒工具的法眼。
图八:用于提升有效载荷文件大小的下载器恶意软件代码。(图片来源:Secureworks)
CTU™研究人员们还观察到,BRONZE BUTLER会在已入侵系统上将下载器源代码下载至一个文件当中(do.cs),而后将其编译为可执行文件(do.exe)。经过解密的代理日志显示,恶意攻击者确实在已入侵系统上编译定制化代码(详见图九)。
图九:解密代理日志显示,已入侵端点上曾进行定制化代码编译。(图片来源:Secureworks)
利用命令与控制(简称C&C)通信
Daserf、Datper以及xxmm通过HTTP、加密命令以及数据同 C&C 服务器进行通信,具体加密算法如表一所示。只要已入侵系统在代理定义的授权时间内进行通信,这些工具即可利用IE浏览器组件绕过代理身份验证服务器。
恶意软件 | HTTP 方法 | 加密算法 |
Daserf (Visual C) | POST | RC4 |
Daserf (Delphi) | GET (大型数据则使用POST) | RC4 |
Datper | GET (大型数据则使用POST) | RC4 |
xxmm | GET (大型数据则使用POST) | RC4 |
表一:Daserf、Datper以及xxmm加密算法。
BRONZE BUTLER为每款工具配备特定的 C&C 服务器,同时会定期更改 C&C 服务器。该组织的 C&C 服务器中有很大一部分位于日本。代理日志(详见表二)中的特定URL模式能够揭露BRONZE BUTLER的具体活动。
恶意软件 | URL模式 | 用户-代理 |
Daserf | http://.gif | Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; SV1) |
Datper | http://.php?<lowercase characters>=1 | |
xxmm | http://.php?t0=>&t1=&t2=&t3=&t6= | Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; SV1) |
表二:与BRONZE BUTLER恶意活动相关的URL模式。
BRONZE BUTLER在这些工具当中利用远程访问能力,通常借用现有PC供应商的目录——例如C:\DELL以及C:\HP——作为入侵环境的工作目录。CTU研究人员们也已经发现,这些恶意攻击者亦会使用以下工作目录:
C:\Intel\
C:\Intel\Logs\
C:\Intel\ExtremeGraphics\CUI\
C:\PerfLogs\Admin\
凭证访问
BRONZE BUTLER利用Mimikatz以及WCE等凭证窃取工具从已入侵主机的内存当中获取验证信息。CTU研究人员对包括Mimikatz在内的多份xxmm样本进行分析,并发现其允许恶意攻击者直接立足xxmm执行Mimikatz命令(详见图十)。另外,xxmm还整合了一款UAC旁路工具,用于在窃取密码之前提升权限。
图十:xxmm中的Mimikatz命令。(图片来源:Secureworks)
CTU™分析结果显示,BRONZE BUTLER还创建了伪造的Kerberos Ticket Granting Ticket(简称TGT)与Ticket Granting Service(简称TGS)标签,亦分别被称为‘金票’与‘银票’,用以维持管理访问能力。图十一所示即为恶意攻击者创建“金票”的相关示例。
图十一:BRONZE BUTLER创建的伪造“金票”。(图片来源:Secureworks)
金票需要用户名,但域控制器不会验证其是否合法。CTU™研究人员检测到,BRONZE BUTLER攻击者曾使用过以下金票用户名:
bgtras
bgtrs
kkir
kisetr
netkin
orumls
wert
主机列举
攻击者们通常会使用内置的Windows ping与net命令进行网络与主机列举活动,从而最终同文件共享服务器建立联系(详见图十二)。BRONZE BUTLER还利用T-SMB Scan工具罗列当前可用SMB主机,并使用多种屏幕捕捉工具以获取其它相关信息。
图十二:BRONZE BUTLER的主机列举行为。(图片来源:Secureworks)
横向移动
在完成对一台主机的入侵后,恶意攻击者会进一步尝试在网络内移动以破坏更多接入系统。BRONZE BUTLER通常利用以下流程实现横向移动:
1. 使用“net use”与“copy”命令将来自已入侵主机的恶意文件(例如恶意软件)发送至同一网络上的其它目标系统处。
2. 使用“net time”命令检查目标系统上的本地时间。
3. 使用“at”或者“schtask”命令在数分钟内注册一项待执行的计划内任务。
4. 数分钟后,恶意文件即在目标系统上执行。
此恶意文件通常为批处理文件,其负责下载恶意软件,并在注册表中注册恶意软件以实现自动执行。图十三所示为使用at以执行计划内任务的zrun.bat执行文件(为批处理文件)。
图十三:计划内任务注册。(图片来源:Secureworks)
图十四所示为该批处理文件(zrun.bat)的执行流程,其添加新的注册表项以实现恶意软件的自动执行。
图十四:添加注册表项以自动执行恶意软件。(图片来源:Secureworks)
CTU研究人员们还观察到,BRONZE BUTLER在为恶意软件命名时会使用与当前文件共享服务器上已有文档文件相同的名称,这意味着用户可能会在毫不知情的前提下在其它系统上启动并安装该恶意软件(详见图十五)。
图十五:恶意软件使用与现有文档文件相同的名称。(图片来源:Secureworks)
文件提取
BRONZE BUTLER通常会为已入侵主机与文件共享服务器创建一份文件列表(类似于购物清单)。如果这份列表较为短小,则该威胁组织会直接进行文件提取。但如果列表内容较多,恶意攻击者则会采用以下流程:
1. 使用恶意软件将大量列举文件的清单上传至C&C服务器。
2. 选择需要窃取的特定文件,构建新的清单。
3. 使用下载器或者其它恶意软件将新清单发送至已入侵主机。
4. 使用归档软件将各文件整理为一个受密码保护的归档文件。
5. 使用上传器或者其它恶意软件将该归档文件上传至攻击者控制的服务器处。此上传器软件由该组织所专有,但Datper与xxmm当中同样包含上传功能。在数据提取完成时,上传器(或者Datper及xxmm)会立即使用del命令删除此RAR归档文件。
图十六所示为BRONZE BUTLER整理出新的文件清单,并将特定文件归档为RAR格式以供窃取。
图十六:整理一份新的文件清单并对目标文件进行归档,从而完成窃取。 (图片来源:Secureworks)
该组织会使用密码对RAR归档文件进行加密。CTU™研究人员们观察到,BRONZE BUTLER网络恶意活动当中曾经使用以下密码:
1234qwer
1234qwer!
1234$%qwer
1qazxsw2
1qazxcde32ws
总结
BRONZE BUTLER对目标组织进行细化划分,且主要针对日本企业。其初始攻击载体包括发布邮件、SWC以及利用企业日常软件当中存在的安全漏洞。该组织能够攻克安全控制机制以提取知识产权,而受害者应在与其接触之前制定可靠的清理计划,从而防止其重新入侵企业网络。
CTU™研究人员们建议称,各类企业——特别是掌握着大量对BRONZE BUTLER而言具备重要价值的资产与知识产权的企业,应当采取以下安全措施:
查看代理日志设置,确保其会记录诸如HTTP参数与用户-代理之类的信息,以供后续分析。利用同BRONZE BUTLER活动相关的URL模式搜索代理日志文件,从而及时发现可能存在的Web服务器扫描情况。
使用高级端点威胁检测(简称AETD)解决方案以监控网络端点上的各类活动。安装后台监视工具(例如Sysmon)以详尽记录Windows事件信息,从而有效协助事件响应工作。
及时采用漏洞补丁与系统更新。将SKYSEA Client View更新至最新版本。
查看网络访问控制机制。具体来讲,检查在企业系统上利用便携式USB调制解调器实现的网络访问。另外,对高权限帐户(例如Active Directory管理员)执行严格的安全控制,从而防止未经授权的用户访问行为。
威胁指标
表三中的指标与BRONZE BUTLER恶意活动相关。这些URL可能包含恶意内容,因此在浏览器中打开此类内容之前,请慎重考虑相关风险。
指标 | 类型 | 情景 |
795327de450e7f1e371a019a3d43673b60df4b7bf91138afa9ddc3913384f913 | SHA256 hash | MSGet downloader |
c043c28ea0d767055a8f8d4e94a9acdf62a81927b0ae63b8a9f16288f92cd093 | SHA256 hash | MSGet downloader |
4d7ce20a8d5bc05b7d4b1e147174f486033805260db1edbbc2516fced7558bcc | SHA256 hash | MSGet downloader |
1ca3b1b259681bca70956139d25a559ccd0b0c04d4f45f08fb954e569aabf9ae | SHA256 hash | MSGet downloader |
08e49c1d476aefb4c590cf135229d6da7981c7425e547d4f2877d79c1a1ab601 | SHA256 hash | VBE downloader |
6a63cb7089480fa76b784ca7043e147332768bccc39b84249af11f05b0dde66f | SHA256 hash | VBE downloader |
026f5c37f0d633ab27b83082dd0e818edbd80c27f86ba12b5cf32b425edb92d0 | SHA256 hash | VBE downloader |
21111136d523970e27833dd2db15d7c50803d8f6f4f377d4d9602ba9fbd355cd | SHA256 hash | Daserf (Visual C) |
15abe7b1355cd35375de6dde57608f6d3481755fdc9e71d2bfc7c7288db4cd92 | SHA256 hash | Daserf (Visual C) |
2bdb88fa24cffba240b60416835189c76a9920b6c3f6e09c3c4b171c2f57031c | SHA256 hash | Daserf (Visual C) |
85544d2bcaf8e6ca32bbc0a9e9583c9db1dce837043f555a7ff66363d5858439 | SHA256 hash | Daserf (Visual C) |
f8f31f73157bf049b318429c1d60ad7ff2851e62535d95cf8d121216b95c8602 | SHA256 hash | Daserf (Visual C) |
b1690facbce9bcc66ebf18f138dbbc10c3662a2034c211e0c414e47c7e208b4a | SHA256 hash | Daserf (Visual C) |
e620c9d19d7d1f609e0bb08465e4c58db97fd0158fb286d938542fc1f03a2302 | SHA256 hash | Daserf (Visual C) |
2dc24622c1e91642a21a64c0dd31cbe953e8f77bd3d6abcf2c4676c3b11bb162 | SHA256 hash | Daserf (Visual C) |
a4afd9df1b4cc014c3a89d7b4a560fa3e368b02286c42841762714b23e68cc05 | SHA256 hash | Daserf (Visual C) |
dab557bae0eb93475c2c2639f186fd717dd57d8d6354232838f44ba6b6a07172 | SHA256 hash | Daserf (Visual C) |
db6a6a4f675cba87405c9c7b016713d3e65b052ffc6c8963764a3d3788f432fa | SHA256 hash | Daserf (Visual C) |
4b8ca82e6f407792cfb51de881f06b86bd4b59f85746b29c3287aee0015b1683 | SHA256 hash | Daserf (Visual C) |
db8b494de8d897976288c8ccee707ff7b7967fb48caef99d75687584191c2411 | SHA256 hash | Daserf (Visual C) |
e2fd17445d81df89f7a9c1ff1c69c9b382215f597db5e4730f5c76557a6fd1f9 | SHA256 hash | Daserf (Visual C) |
0a031665d05e82038d620facf9d4a86a89e78544f2f770f579c980dae2e252bf | SHA256 hash | Daserf (Visual C) |
fa9a3341649e798bbc340ce9b2fe69791fe733aa9e46da666ce13b8cf7ca8f4d | SHA256 hash | Daserf (Visual C) |
f06b440052bd2c2eb127c33c35a80c4eca34a06360d3ee1bb37348d6029dc955 | SHA256 hash | Daserf (Visual C) |
2a39372dea901665ab9429d2f15b3f4fb10706423e177226539047ee1ac3e4a3 | SHA256 hash | Daserf (Visual C) |
4e15392553ca8e7d06f9f592eb04cf6dbfed18c98c56afc0ccd132465b270e12 | SHA256 hash | Daserf (Delphi) |
89a80ca92600af64eb9c32cab4e936c7d675cf815424d72438973e2d6788ef64 | SHA256 hash | Daserf (Delphi) |
b1bd03cd12638f44d9ace271f65645e7f9b707f86e9bcf790e0e5a96b755556b | SHA256 hash | Daserf (Delphi) |
22e1965154bdb91dd281f0e86c8be96bf1f9a1e5fe93c60a1d30b79c0c0f0d43 | SHA256 hash | Daserf (Delphi) |
b1fdc6dc330e78a66757b77cc67a0e9931b777cd7af9f839911eecb74c04420a | SHA256 hash | Daserf (Delphi) |
67e32df3a460f005e7aec83b903f6d47d5533ff3843a97d186ad02316dff9fa9 | SHA256 hash | Daserf (Delphi) |
2c449b562dfce53cf98acaddf37286cfb2d1e9da1536511a08bbd24ed93624a6 | SHA256 hash | Daserf (Delphi) |
236848e301d71cab6e17a0503fb268f25412838eccb5fb17e78580d2d0a3a31d | SHA256 hash | Daserf (Delphi) |
b0966e89eae36a309d89a0c15c8a07677f58130fdc76bc98c16968376ec80626 | SHA256 hash | Daserf (Delphi) |
68e5013a8147e77e892dcd06687e5e815c3837fb83fbff16bac442c65b2f3e73 | SHA256 hash | Daserf (Delphi) |
e2f174f8368b46054e6ec2feec00b878b63e331ba3628374d584b238a95fd770 | SHA256 hash | Daserf (Delphi) |
7afb8082822bf3e55c6639ed2e272846c6be0e5c1fd40402b8b0f69e37402461 | SHA256 hash | Daserf (Delphi) |
630aa710bb7080143498d7fafbb152bbfe581bf690d9bfad041e4e285f152de2 | SHA256 hash | Daserf (Delphi) |
efa68fcbd455a72276062fb513b71547ea11fedf4db10a476cc6c9a2fa4f67f7 | SHA256 hash | Datper |
90ac1fb148ded4f46949a5fea4cd8c65d4ea9585046d66459328a5866f8198b2 | SHA256 hash | Datper |
331ac0965b50958db49b7794cc819b2945d7b5e5e919c185d83e997e205f107b | SHA256 hash | Datper |
12d9b4ec7f8ae42c67a6fd030efb027137dbe29e63f6f669eb932d0299fbe82f | SHA256 hash | Datper |
303b75a7c350d26116fe341d77105a33c8cb1da3dc82424c3eac401820e868dd | SHA256 hash | Datper |
340906b6b3a4149875dea37221843cb8b67c51eb4520b39956cb6761ef0a3c5d | SHA256 hash | Datper |
b3cc83978bbc4f5603e93ec8c687a7007a3f7dbfbae01bff0a30332b06ea44d9 | SHA256 hash | Datper |
18e896a7547aacb33aa3941ab1b61659ed099c0f6fbb924068f81b4289b05f12 | SHA256 hash | xxmm |
4d208c86c8331b7f1f6dd53f83af9ee4ec700a74792b419f663a3ce105d15d1c | SHA256 hash | xxmm |
28894a78bc00d6774d1242925787d35c5c2ae2563f5f7f1ff38dc0b441a15812 | SHA256 hash | xxmm |
747041d73b3eb29dde5c9e31efdd5e675f16f182c23999ed5613be0e9be12351 | SHA256 hash | xxmm |
15b4c1d29b41531b255e41d39d194a52bdc98a3b65a13771d8caf92372b324ce | SHA256 hash | xxmm |
ac501bb7e9e1bc57dd027d152f4a7c473f108e37023aae4bad64117241963b5c | SHA256 hash | xxmm |
7197de18bc5a4c854334ff979f3e4dafa16f43d7bf91edfe46f03e6cc88f7b73 | SHA256 hash | xxmm |
fe06b99a0287e2b2d9f7faffbda3a4b328ecc05eab56a3e730cfc99de803b192 | SHA256 hash | xxmm |
e94a7e835c657dd8a82dab5705db0ec279d1de97a3524f0e25e1e3d78f0561b8 | SHA256 hash | xxmm |
09df0591a885b8d16767820c9eac51a5dd8099a4b17a46bffe38b315a6e29d0b | SHA256 hash | xxmm |
7333f4601379d5877ec1416e4d82654d312210d5bcf4d628b98207a737bdb654 | SHA256 hash | xxmm |
425616f2958ba176662eb9bd66259fb38ca513b5831f0a07956b22839d915306 | SHA256 hash | xxmm |
46eae3931334468246c728a7e0ab3bbfafe40c9f73f80bf0544b8aa649227d60 | SHA256 hash | xxmm |
de18ebedc5b29d66244773dda80b22ecf2c453cdbeaa85149c4ff0e96bdc4478 | SHA256 hash | xxmm downloader |
70ef2e2fa3ac2c44a34963aca5dfe79e2b4f51795181374cca63bbf789f8a7f0 | SHA256 hash | xxmm downloader |
b11941e0510e02283e7732a72f853027ea9271a2d4dc87d736ae33275eab2806 | SHA256 hash | xxmm downloader |
bd81521445639aaa5e3bcb5ece94f73feda3a91880a34a01f92639f8640251d6 | SHA256 hash | DGet |
0fc1b4fdf0dc5373f98de8817da9380479606f775f5aa0b9b0e1a78d4b49e5f4 | SHA256 hash | RarStar |
http://115.144.166.240/ | URL | Daserf (Delphi) C2 server |
http://203.111.252.40/ | URL | Daserf (Delphi) C2 server |
http://27.255.69.209/ | URL | Daserf (Delphi) C2 server |
http://27.255.91.238/ | URL | Daserf (Delphi) C2 server |
http://106.184.5.30/ | URL | Daserf (Delphi) C2 server |
http://airsteel.co.jp/cgi-bin/search/02/06_cgi.php | URL | Datper C2 server |
http://gigasolar.jp/images/blog/20131011news-3.php | URL | Datper C2 server |
http://www.atnet-photo.com/japan/themes/default/themes.php | URL | Datper C2 server |
http://www.primeob.com/include/mpage/store.php | URL | Datper C2 server |
http://baby.ests.jp/Templates/themes.php | URL | Datper C2 server |
http://www.kamomeza.net/coppermine/images/thumb_dom.php | URL | xxmm C2 server |
http://noukankyo.org/images/about/soshikizu.php | URL | xxmm C2 server |
http://jmta.co.jp/module/Template/Plugin/Math.php | URL | xxmm C2 server |
http://i-frontierasia.com/shiryoku/link.php | URL | xxmm C2 server |
http://leadoffnet.com/img/top/top_12.php | URL | xxmm C2 server |
http://www.concierge.com.cn/public_html/wp-content/themes/comment.php | URL | xxmm C2 server |
http://www.wco-kyousai.com/ex-engine/themes/xe_default/conf/info.php | URL | xxmm C2 server |
http://angelbaby.jpn.cm/html/images/deleteComments.php | URL | xxmm C2 server |
http://www.infomiracle.info/TwitterQuest/image/ser.dat | URL | Used by BRONZE BUTLER to host tools |
http://160.16.243.147/images/CUI.jpg | URL | Used by BRONZE BUTLER to host tools |
http://160.16.243.147/images/ns.jpg | URL | Used by BRONZE BUTLER to host tools |
http://oan.jp/photo/logo_new.jpg | URL | Used by BRONZE BUTLER to host tools |
http://oan.jp/photo/logo_old.jpg | URL | Used by BRONZE BUTLER to host tools |
http://s-city.net/sport/pic1612.jpg | URL | Used by BRONZE BUTLER to host tools |
http://sha-sigma.com/led/aa.dat | URL | Used by BRONZE BUTLER to host tools |
http://www.s-city.net/images/beach6.jpg | URL | Used by BRONZE BUTLER to host tools |
http://www.stylmartin.co.jp/bdflashinfo/ns12.jpg | URL | Used by BRONZE BUTLER to host tools |
http://www.stylmartin.co.jp/bdflashinfo/pageicons/6.jpg | URL | Used by BRONZE BUTLER to host tools |
http://www.slvcx.com/t.rar | URL | Used by BRONZE BUTLER to host tools |
http://www.sinwa-jp.com/works/logo-unix.php | URL | BRONZE BUTLER exfiltration point |
http://www.baiya.jp/2014dressnumber/images/logo-unix.php | URL | BRONZE BUTLER exfiltration point |
注:本文由E安全编译报道,转载请注明原文地址
https://www.easyaq.com/news/1408873821.shtml
相关阅读:
▼点击“阅读原文” 查看更多精彩内容