基于搜索引擎的telegram钓鱼攻击手法总结(12)
时间:2023-03-18 23:36 来源:网络整理 作者:默认发布 点击:次
像HFS这种情况,服务的特征还是相当明显的,我们可以使用使用FOFA等互联网资产搜索引擎来过滤出被采集到的恶意服务。 该搜索结果风格基本是单服务、单IP。 该搜索结果风格是多域名、单IP,可见攻击者比较偷懒,注册了多个垃圾域名均解析到了单个IP开启的服务。 当然了,直接根据关键字去匹,也能匹配到不少假冒官网。 客户端类型相关的信息量较少,需要注意的基本只有格式、命名两点。文件格式变换可能是出于免杀、bypass chrome下载文件安全提醒考虑,安装包文件名则可能主要用来欺骗用户。本文更侧重于自动化封禁处理的角度,这里不再赘述。 日常分析对C2接触不算多,此处仅介绍几个接触过的比较有代表性的场景: 常见恶意客户端的使命无非两个:释放出中文版telegram给用户使用、运行木马。目前最常见的木马运行方式即为 “白加黑”,攻击者一般会选用迅雷、某些游戏客户端等的exe组件作为加载恶意dll的载体。 对于比较传统的MSI后缀流派,7z的分析效果比较好(要看具体场景)。以某次直接释放MFC木马的假冒telegram客户端为例: C2木马具有复杂性提升的发展趋势。最初比较常见的木马释放流程就是安装包释放出loader,loader运行加密的shellcode,但近期分析的木马却更加复杂一些。 下图案例中的exe安装包将释放出msi安装包、压缩文件包、PE文件,msi安装包释放出downloader(downloader疑似也是一个被恶意利用的组件)。 |
- 上一篇:黑客正片高清在线观看
- 下一篇:请问网站维护不给提款一直审核中(一招教你挽回)