针对朝鲜的远程攻击木马Konni——技术分析与防护

最新推荐文章于 2022-10-04 15:13:45 发布
最新推荐文章于 2022-10-04 15:13:45 发布
阅读量688 收藏
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zzkk_/article/details/77337235 
在今年7月份,针对朝鲜的网络攻击的远程访问木马Konni被发现,此次的网络攻击行为被怀疑和韩国有关。该木马主要通过钓鱼邮件的方式进行传播,开始先通过一个.scr文件执行Powershell脚本,并根据系统信息下载对应版本的恶意软件。绿盟科技在获得该木马样本之后第一时间进行了分析。通过技术手段发现,该木马主要用于窃取数据和远程执行命令。


 

相关链接:

http://mp.weixin.qq.com/s?__biz=MzI4ODA4MTcxMA==&mid=2649550781&idx=1&sn=2154bbd04e8afc1fdf9688f34d0e9d2a&chksm=f3db9dfcc4ac14ea38b5860c64e5546163b7653dff49c93f77a84d741c54c1fd1a3b137faa68&mpshare=1&scene=1&srcid=0811uNyGZ0DegrBKLep01hBh&rd2werd=1

http://www.securityweek.com/cyberspies-use-konni-malware-target-north-korea

绿盟科技TAC检测结果



样本分析


主要功能

样本是一个木马程序,拥有获取系统信息、键盘消息记录、浏览用户文件目录、远程下载、偷取或删除指定文件、获得用户截屏、远程执行命令的功能。

由于木马dll仅会在注入浏览器时体现网络行为,并且该网络行为被伪装成和正常网页的交互,所以能够躲避一些基于可疑网络流量分析进行告警的检测手段。

行为分析


文件操作

1、原样本从资源中释放自身的功能模块errorevent.dll到用户临时目录下:



2、功能模块样本在用户Local settings文件夹中创建Packages/Microsoft/目录,并依据不同的子功能生成临时文件:



例如:

样本的键盘记录日志文件名为debug.tmp。

样本接收的指令将由repaired文件暂时存储。

样本在收
最低0.47元/天 解锁文章

200万优质内容无限畅学
zzkk_
关注
Konni样本分析
yellow的博客
11-09 491
消息来源时间:2021年11月02日。
以资源形式导入dll和exe实现远控配置器和dll辅助注入
bobopeng
08-05 2629
在远控/木马的编写过程
vb6.0 生成exe被简称是木马_文本.txt钓鱼执行木马
weixin_39651735的博客
11-21 478
左侧的文件是muma文件。右边的文件是真实文本文件,两者看起来基本一模一样(仔细看的出来图标略微不一样,图标可以后期自行设置),可以看到都是.txt的文件名。一旦执行左侧的木马文件,我们的木马就会在后台悄悄执行了。CS MSF等等C2正常上线。0x01 生成shellcode我们使用CS MSF等等C2生成的powershell等shellcode.(任意命令行类型shellcode都可...
恶意软件NOKKI和朝鲜“Group123”APT组织关联的最新证据
苏诚的博客
11-18 1402
Palo Alto Networks的研究人员近期发布了一篇关于NOKKI恶意软件的报告,报告表示NOKKI和新发现的KONNI恶意软件共用代码。尽管在此报告中没有说明,NOKKI还KimJongRAT木马共享代码(该木马由Cisco Talos的Paul Rascagnères于2013年发现)。在Palo Alto的另一份报告中,还公布了NOKKI朝鲜攻击者APT37(又称收割者或Gr...
浅析一句话木马
coordinate的博客
10-01 5122
一开始对于一句话木马感觉很神奇,因为它特别的短,用过的人都知道。分析原理后,又非常想知道到底是什么人想出这么一个好的想法,真的非常的天才。以php一句话为例子<?php eval($_POST[c]); ?>我么将这句话保存为x.php文件上传到网站中,通过菜刀可以轻松连接。 究其原理其实很简单,看下面这个做法,通过对x.php中的c进行post 菜刀的功能无非是把我们要post的数据传
金曜日威胁情报:重大数据泄露事件(万豪,戴尔)+各类新鲜APT攻击(朝韩俄等)报告...
blackorbird的博客
11-30 416
数据泄露一、万豪旗下喜达屋酒店数据库遭入侵,5亿顾客信息或泄露作为一家国际五星酒店,能够勇敢的承认自己被黑了,数据泄露了,这已经是一种具有社会责任感的体现,比国内某家知道...
2019 年各地移动 APT事件总结
m0_74079109的博客
10-04 420
2019 年世界依旧不太平,在表面平静的背后是暗流涌动。大规模军事冲突 不会发生的当下,因利益,政治,宗教等问题依然会有局部战争。其中尤其以中 东问题最为突出,更多关于 APT组织的相关信息,请关注奇安信威胁情报中心, 红雨滴团队 GitHub 的 APT_Digital_Weapon资料库: https://github.com/RedDrip7/APT_Digital_Weapon下面我们盘点 2019 年移动端 APT攻击事件。KONNIAPT组织KONNI团队可能来源东亚地区。
2023年APT攻击年度报告
02-05
系统采用了先进的数据分析技术和人工智能算法,能够有效检测出隐蔽性强、难以被传统安全工具发现的APT攻击行为。 #### 前言 随着信息技术的飞速发展,网络安全问题日益严峻。尤其是针对政府机构、关键基础设施以及...
根据虹软实现的 人脸检测、追踪、识别、年龄检测、性别检测 的JAVA解决方案
09-11
打开下面链接,直接免费下载资源: https://renmaiwang.cn/s/vxfyv (最新版、最全版本)根据虹软实现的 人脸检测、追踪、识别、年龄检测、性别检测 的JAVA解决方案
matlab YALMIP、GLPK安装资源
09-11
matlab的YALMIP、GLPK安装包,内置YALMIP、GLPK,直接将分别其添加到matlab的toolbox、路径中即可(matlab主页-设置路径-添加并包含子文件夹-YALMIP;matlab主页-设置路径-添加文件夹-github_repo)
【scratch3.0少儿编程-游戏原型-动画-项目源码】打砖块.zip
09-11
资源说明: 1:本资料仅用作交流学习参考,请切勿用于商业用途。 2:一套精品实用scratch3.0少儿编程游戏、动画源码资源,无论是入门练手还是项目复用都超实用,省去重复开发时间,让开发少走弯路! 更多精品资源请访问 https://blog.youkuaiyun.com/ashyyyy/article/details/146464041
使用 OpenCV 技术实现人脸检测的方法过程
09-11
打开下面链接,直接免费下载资源: https://renmaiwang.cn/s/o7o7f 运用 OpenCV 这一计算机视觉库来开展人脸检测相关的操作
随你记微信小程序_专为学生群体设计的便捷收支管理工具_提供快速记录日常开销收入的功能_支持多维度数据可视化分析_帮助用户清晰掌握个人财务状况_培养理性消费习惯_无需下载安装即用即.zip
最新发布
09-11
随你记微信小程序_专为学生群体设计的便捷收支管理工具_提供快速记录日常开销收入的功能_支持多维度数据可视化分析_帮助用户清晰掌握个人财务状况_培养理性消费习惯_无需下载安装即用即.zip
一个基于PyQt5的实时人脸识别系统,使用MTCNN进行人脸检测和FaceNet进行人脸特征提取,支持人脸注册、识别和管理功能
09-11
打开下面链接,直接免费下载资源: https://renmaiwang.cn/s/2u8a8 (最新版、最全版本)一个基于PyQt5的实时人脸识别系统,使用MTCNN进行人脸检测和FaceNet进行人脸特征提取,支持人脸注册、识别和管理功能。
运用 opencv tensorflow 实现实时人脸检测的方法
09-11
打开下面链接,直接免费下载资源: https://renmaiwang.cn/s/sxvdc 运用 opencv tensorflow 这两种工具来开展实时性的人脸检测工作
这是一个使用 OpenCV 实现的视频人脸检测程序 程序可以实时检测视频中的正面人脸和侧脸,并在检测到的人脸上绘制识别框和置信度 支持从本地摄像头、视频文件或网络视频流中读取视频
09-11
打开下面链接,直接免费下载资源: https://renmaiwang.cn/s/igxjk (最新版、最全版本)这是一个使用 OpenCV 实现的视频人脸检测程序。程序可以实时检测视频中的正面人脸和侧脸,并在检测到的人脸上绘制识别框和置信度。支持从本地摄像头、视频文件或网络视频流中读取视频。
毕业设计.zip
09-11
毕业设计.zip
【scratch3.0少儿编程-游戏原型-动画-项目源码】河道清理船巡线改编.zip
09-11
资源说明: 1:本资料仅用作交流学习参考,请切勿用于商业用途。 2:一套精品实用scratch3.0少儿编程游戏、动画源码资源,无论是入门练手还是项目复用都超实用,省去重复开发时间,让开发少走弯路! 更多精品资源请访问 https://blog.youkuaiyun.com/ashyyyy/article/details/146464041
【scratch2.0少儿编程-游戏原型-动画-项目源码】[饥饿鲨].zip
09-11
资源说明: 1:本资料仅用作交流学习参考,请切勿用于商业用途。 2:一套精品实用scratch2.0少儿编程游戏、动画源码资源,无论是入门练手还是项目复用都超实用,省去重复开发时间,让开发少走弯路! 更多精品资源请访问 https://blog.youkuaiyun.com/ashyyyy/article/details/146464041
Qt框架下Ymodem协议通信实现源码解析
09-11
Ymodem协议是一种在串行通信中用于数据传输的机制,起源于早期的Xmodem协议。该协议具备处理大容量数据文件的能力,支持数据校验、文件属性传递以及多文件批量传输。Qt是一个面向C++的跨平台开发框架,适用于构建图形界面程序及后台服务类应用。当结合Qt实现Ymodem协议时,能够开发出适用于多种设备的通信程序,包括桌面系统、嵌入式设备和移动终端。 在Qt中实现Ymodem协议,需要掌握Qt的信号槽机制、串口通信模块(如QSerialPort)以及线程管理技术。实现过程中通常包含以下主要环节: 1. 连接初始化:在通信双方确认状态后,启动数据传输流程。 2. 数据块传输:协议支持多种数据块大小,如128字节或1024字节。每个数据块需包含数据内容、编号及校验信息。接收端需对数据进行校验以保证完整性。 3. 序列管理响应机制:通过编号确保数据顺序,发送端在收到确认信号后继续下一块传输。若未收到有效响应,则需重传。 4. 文件元信息传输:在正式传输前,发送方需传递文件名称及大小等信息,以便接收方进行存储准备。 5. 批量传输模式:支持多个文件的连续传输,需在数据中区分不同文件的块。 6. 传输结束机制:通常通过发送空数据块来终止通信过程。 在Qt中实现Ymodem协议的代码,通常需要创建多个类来封装串口通信逻辑及协议处理功能,同时需考虑异常处理和数据恢复策略。代码涉及对QSerialPort的配置、数据流的监控、事件循环的管理等。此外,为提升用户体验,开发人员可能在代码中加入进度显示、传输速率计算等功能。 Qt的跨平台特性使得基于其开发的Ymodem协议实现具备良好的可移植性,可在不同操作系统上运行。开发此类程序需要开发者对Ymodem协议有深入了解,并熟悉Qt框架的使用,包括信号机制、多线程及串口通信等技术。高质量的代码实现能够确保协议在不同运行环境下的稳定性可靠性。 Ymodem协议的实现常出现在开源项目中,为开发者提供了参考和借鉴,有助于技术交流社区发展。根据文件名“SerialPortYmodem”推测,该文件可能用于处理串口通信相关的Ymodem逻辑。开发者在使用时应仔细查阅文档,理解各模块功能,以便正确集成和应用。 综上,Qt实现Ymodem协议的开发涉及对协议机制Qt框架的深入理解,能够构建出满足多种串行通信需求的程序。 资源来源于网络分享,仅用于学习交流使用,请勿用于商业,如有侵权请联系我删除!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值