南沟村| 茫崖行委| 逻楼镇| 南刘集乡| 孟定镇| 马丹江| 南关高科技示范园| 木钵镇| 逯家村| 绵山镇| 六合路| 茂林乡| 南金沟屯村| 罗庄村委会| 南长山镇| 落星田| 梅家河| 南店社区| 洛尼乡| 贸西街道| 莫尔佛塔| 路庄村委会| 码头| 罗马花园| 茫曲镇| 米泉| 梅子垭| 孟祖村| 孟彦镇| 孟城| 清道夫干了还能活| 歪歪漫画免费版在线阅读| 文涛拍案 经典| [k]正义的伙伴| 香港电影赌神| 865棋牌灵珠怎么得到| 61棋牌游戏| 澳门威尼斯人会员充值| 澳门美高梅彩票游戏下载| 银河赌网娱乐| 澳门美高梅网站电子| 澳门银河官网网址| 美高梅官网赌钱| 永利赌城下载| 澳门威尼斯人彩票APP下载| 澳门金沙官网娱乐网| 永利手机版投注| 华泰证券手机交易软件| 格力三高人群专属电饭煲| 萤火之森动漫在线播放| 千方百计爱上你百度云| 海阔天空信乐团在线听| 花开棋牌最新| 澳门永利网上下注| 澳门永利赌场线上优惠| 澳门威尼斯人网上APP下载| 美高梅线上网址| 美高梅官方网址| 北戴河中央疗养院| 一骑当千关羽云长| 顶级厨师洪宏星现状| 0597棋牌乐下载| 永利在线手机版| 手机永利投注| 中央开始发展南昌| 猛兽侠国语全集迅雷下载| 决战丛林国语| 澳门银河网站手机版| 澳门银河官方网真人| 中国联通营业厅地址| 惊悚乐园全集txt下载| 大头儿子修水管大憨| 778老易棋牌游戏| 澳门永利在线优惠活动| 葡京下注| 韩国欲联合中朝阻止旭日旗进奥运| 滕华涛用错鹿晗| 威尔史密斯为什么叫史皇| 最优的我们成员名单| 窗边的小豆豆| 澳门威尼斯人网站

《奔跑吧》首播 邓超跳热辣钢管舞与黄宗泽拼妖艳

2019-09-22 01:38 来源:北青网焦点新闻

  《奔跑吧》首播 邓超跳热辣钢管舞与黄宗泽拼妖艳

  澳门威尼斯人网址例如,作为首设自贸试验区的地区,上海已明确2018年要深入推进以自贸区为重点的改革开放。再以1994年6月至1995年2月为例,在中国遭受301调查期间,美国自中国进口平均增速为24%,分别高于调查前10个月的20%及调查后的18%。

国家煤矿安全监察局,由应急管理部管理。访我省全国人大代表伍辉3月21日,阳光和煦,春意愈浓。

  国际三大评级机构之一的惠誉发表最新观点认为,美国对中国500-600亿美元商品加关税的行动,不太可能对中国或全球经济产生重大影响。此外,多家银行也将在此提供相关金融配套服务。

  英文致辞,戳视频她先用法语开场,表达对东道国法国的尊重。要真正学进去,融会贯通学,持续深入学;要积极讲出来,引导干部群众深化学习理解;要扎实做起来,把落实讲话精神体现到工作中。

省物价监测部门要求各市县价格部门认真做好化肥、农药、种子、柴油等农资市场价格监测,对当地农资市场价格进行动态分析,发现苗头性、倾向性问题及时预警,如出现价格异常波动要及时提出价格调控建议,并采取相应措施妥善应对。

  专家指出,自由贸易港将成为继自贸试验区之后,我国开放层次更高、营商环境更优、辐射作用更强的开放新高地,这对于促进我国开放型经济创新发展具有重要意义。

  锦江水岸亲水空间生态带建设全力推进、交子公园二期预计将在年内开放、交子金融科技中心即将下月投用……金融城三期这张金融科技产业名片正加速形成。平均气温-℃,比常年偏低℃,为1961年以来历史第八位。

  五、国务院办事机构国务院港澳事务办公室国务院研究室国务院侨务办公室在中央统战部加挂牌子,由中央统战部承担相关职责。

  重庆市影像检查及病理检查结果互认第一批次实施单位名单重庆医科大学附属第一医院(国家临床重点影像专科)重庆医科大学附属第二医院(国家临床重点影像专科)重庆医科大学附属儿童医院重庆市人民医院(市级临床重点影像专科)重庆市中医院重庆医科大学附属口腔医院重庆医科大学附属永川医院重庆医科大学附属大学城医院重庆医科大学附属康复医院重庆市急救医疗中心重庆市职业病防治院重庆市肿瘤医院重庆市妇幼保健院重庆市公共卫生医疗救治中心重庆市精神卫生中心陆军军医大学西南医院陆军军医大学新桥医院陆军军医大学大坪医院解放军324医院武警重庆市总队医院重庆三峡中心医院(市级临床重点影像专科)黔江中心医院涪陵中心医院涪陵区中医院九龙坡区中医院重庆市第五人民医院(市级临床重点影像专科)重庆市第九人民医院北碚区中医院永川区中医院江津区中心医院江津区中医院长寿区人民医院南川区人民医院(市级临床重点影像专科)开州区人民医院(市级临床重点影像专科)綦江区人民医院(市级临床重点影像专科)合川区人民医院(市级临床重点影像专科)大足区人民医院铜梁区中医院垫江县人民医院垫江县中医院云阳县中医院奉节县人民医院(市级临床重点影像专科)巫山县人民医院(市级临床重点影像专科)酉阳县人民医院(市级临床重点影像专科)石柱县人民医院(市级临床重点影像专科)丰都县人民医院(市级临床重点影像专科)3月24日,封面新闻记者从成都金融城获悉,从以天府绿道为核心的生态建设,到以交子金融科技中心项目为代表的金融科技载体项目,再到轨道交通等服务民生的交通项目,金融城三期建设已取得重大进展。

  国家新闻出版署(国家版权局)在中央宣传部加挂牌子,由中央宣传部承担相关职责。

  澳门威尼斯人网址讲卫生防流感请把痰吐窗外。

  再以1994年6月至1995年2月为例,在中国遭受301调查期间,美国自中国进口平均增速为24%,分别高于调查前10个月的20%及调查后的18%。谈到当前全球经济形势,朱光耀说,G20财长和央行行长认为,2018年将是全球金融危机爆发以来世界经济呈现稳定增长态势的一年,全球主要经济体都可能实现正增长,改变了此前近10年的不平衡发展态势。

  澳门威尼斯人现金网 澳门威尼斯人现金网 百度

  《奔跑吧》首播 邓超跳热辣钢管舞与黄宗泽拼妖艳

 
责编:

《奔跑吧》首播 邓超跳热辣钢管舞与黄宗泽拼妖艳

澳门威尼斯人注册 同时,省物价监管部门通过价格政策法规宣传,公布12358价格举报电话,组织召开农资经营者提醒告诫会,发放保持农资市场价格稳定提醒函等多种形式,指导消费者增强维权意识,提醒、引导经营者诚实守信、合法经营。

2019-09-22   

近日,瑞星安全研究院捕获到两起针对中国的APT攻击事件,一起是针对各国驻华大使馆,另一起是针对某科技有限公司驻外代表处。

一、背景介绍

近日,瑞星安全研究院捕获到两起针对中国的APT攻击事件,一起是针对各国驻华大使馆,另一起是针对某科技有限公司驻外代表处。攻击者利用Office远程代码执行漏洞(cve-2017-11882)通过钓鱼邮件等方式发起APT攻击,一旦有用户打开钓鱼文档,电脑就会被攻击者远程控制,从而被盗取如电脑系统信息、安装程序、磁盘信息等内部机密数据资料。

据了解,此番发起APT攻击的是国际知名的“响尾蛇”组织,该组织此前已对巴基斯坦和东南亚各国发起过多次攻击,但近两起的APT攻击却频繁指向了中国,一起是伪装成国防部国际军事合作办公室海外军事安全协作中心,向各国驻华使馆武官发送虚假邀请函;另一起是针对某科技有限公司驻外代表处的攻击事件,攻击者向该公司驻外代表处发送了虚假的安全和保密手册。

图:伪装成国防部的钓鱼文档

据瑞星安全研究院分析,虽然这两次攻击对象和内容不同,但通过对攻击者使用的技术手法来看,断定与APT组织“响尾蛇”有着莫大的关系,该组织以窃取政府,能源,军事,矿产等领域的机密信息为主要目的。此次的攻击事件以虚假邮件为诱饵,利用Office远程代码执行漏洞(cve-2017-11882),发送与中国驻华使馆与科技类企业相关的钓鱼邮件,其目的应以盗取我国重要机密数据、隐私信息及科技研究技术为主。

二、攻击流程

图:攻击流程

三、钓鱼邮件分析

(一)诱饵文档一

文档伪装成国防部国际军事合作办公室海外军事安全协作中心发往各国驻华使馆武官的邀请函。

图:诱饵文档

(二)诱饵文档二

文档内容和某科技有限公司驻外代表处的安全和保密工作手册修订相关。

图:文档内容

(三)详细分析

两个诱饵文档均在末尾嵌入一个名为“包装程序外壳对象“的对象,对象属性指向%temp%目录中的1.a文件。所以,打开文档会在%temp%目录下释放由JaveScript脚本编写的1.a文件。

图:对象属性

接着诱饵文档又利用漏洞CVE-2017-11882触发shellcode执行1.a。

图: shellcode

Shellcode流程如下:

通过异或0x12解密出一个JavaScript脚本,该脚本的主要功能是执行%temp%目录下的1.a文件。

图:JavaScript脚本密文
图:解密后的JavaScript脚本

ShellCode会将公式编辑器的命令行参数改成JavaScript脚本,利用RunHTMLApplication函数执行将该脚本执行起来。

图:替换命令行
图:执行JavaScript

三、病毒分析

(一)1.a文件分析

1.a是通过开源的DotNetToJScript工具生成,主要功能是通过JavaScript脚本内存执行.net的DLL文件。该脚本首先解密出StInstaller.dll文件,并反射加载该DLL中的work函数。Work函数对传进来的参数x(参数1)和y(参数2)进行解密,解密后x为PROPSYS.dll,y为V1nK38w.tmp。

图:1.a脚本内容

(二)StInstaller.dll文件分析

StInstaller.dll是一个.NET程序,会创建工作目录C:\ProgramData\AuthyFiles,然后在工作目录中释放3个文件,分别是PROPSYS.dll,V1nK38w.tmp和write.exe.config,并将系统目录下的写字板程序(write.exe) 拷贝到该目录中。运行write.exe(白文件)加载同级目录下的PROPSYS.dll(黑文件), 通过白加黑的手段运行恶意代码。

图:work函数

以下是详细过程:

1.在work函数中调用xorIt解密函数得到3个重要配置数据,分别是工作目录名AuthyFiles,域名 https://trans-can.net和设置的注册表键名authy。

图:解密数据
图:xorIt解密函数

2.创建工作目录C:\ProgramData\AuthyFiles,拷贝系统文件write.exe到工作目录,并将其设置为开机自启动。

图:创建AuthyFiles和write.exe

3.在工作目录中释放一个随机命名的文件V1nK38w.tmp。

4.在工作目录中释放PROPSYS.dll,并更新该文件中接下来要加载程序的文件名为V1nK38w.tmp。

图:创建PROPSYS.dll

5.将拼接后完整的url链接:

https://trans-can.net/ini/thxqfLH82tJpLuGANcqTooJQEd6qGYu7cML5rMvr/-1/1291/f8ad26b5写入V1nK38w.tmp文件中。再将该文件使用EncodeData函数进行加密。

图:创建V1nK38w.tmp文件
图:EncodeData加密函数

6.创建配置文件write.exe.config,防止不同.NET版本出现兼容性问题。

图:创建write.exe.config
图:write.exe.config内容

7.执行C:\ProgramData\AuthyFiles\write.exe,调用恶意的PROPSYS.dll。

图:执行write.exe

(三)PROPSYS.dll文件分析

使用DecodeData函数对V1nK38w.tmp进行解密,解密完后加载执行V1nK38w.tmp。

图:加载执行V1nK38w.tmp
图:DecodeData解密函数

(四)V1nK38w.tmp文件分析

V1Nk38w.tmp主要是窃取大量信息和接收指令执行。

图:主要行为

1.加载初始配置,配置由资源中的Default解密得到。配置内容是网址,上传文件的暂存目录和窃取指定的文件后缀名(doc, docx, xls, xlsx, pdf, ppt, pptx)。

图:加载配置
图:解密后的Default资源信息

2.将配置使用EncodeData函数加密,存于注册表HKCU\Sotfware\Authy中。

图:在注册表中加密的配置信息

3.访问指定地址下载文件执行,优先选择配置信息中的网址,如果没有则选择默认网址:https://trans-can.net/ini/thxqfLH82tJpLuGANcqTooJQEd6qGYu7cML5rMvr/-1/1291/f8ad26b。

图:下载数据

4.将窃取的信息整合成文件,文件命名为:随机字符串+特定后缀,数据内容以明文形式存于暂存目录中。

图:窃取信息文件

后缀为.sif的文件主要是存储的是系统信息,安装程序信息,磁盘信息等。

图:后缀.sif存储的信息

获取的系统信息如下表:

后缀为.fls的文件中。

表:信息记录
图: 后缀.fls的存储信息

后缀为.flc的文件中记录所有盘符的信息和盘符下的目录和文件信息。

攻击者要获取的盘符信息如下表:

攻击者要获取的目录信息如下表:

攻击者要获取的文件信息如下表:

捕获程序运行异常,将异常信息记录到后缀为.err的文件。

图:捕获异常

5.更新注册表中存储的配置数据:首先遍历系统找寻和特定后缀相同的文件,然后从注册表HKCU\Sotfware\Authy读取和解密配置数据,将找到的文件的名字和路径补充到配置数据中,最后将配置信息加密继续存放注册表。

图:找寻特定后缀文件
图:记录要上传的文档路径
图:上传指定后缀文档

6.更新注册表中存储的配置数据:将上传文件的信息更新到注册表配置数据中。

图:注册表中解密后的配置信息

7.将注册表配置信息中记载的特定后缀文件的数据内容全部压缩上传。

图:上传后缀文件

8.上传暂存目录中后缀为sif,flc,err和fls的文件。

图:上传文件

四、总结

此次两起攻击事件时隔不长,攻击目标均指向中国国内敏感领域和相关机构,攻击目的以窃取机构内部隐私信息为主,以便制定有针对性的下一步攻击方案。最近揭露的响尾蛇攻击对象大都指向巴基斯坦和东南亚各国,但这两起攻击事件目标直指中国,表明该组织攻击目标发生了变化,加大了对中国的攻击力度。恰逢今年是我国建国七十周年华诞,国内相关政府机构和企业单位务必要引起高度重视,加强预防措施。

五、预防措施

1.不打开可疑邮件,不下载可疑附件。

此类攻击最开始的入口通常都是钓鱼邮件,钓鱼邮件非常具有迷惑性,因此需要用户提高警惕,企业更是要加强员工网络安全意识的培训。

2.部署网络安全态势感知、预警系统等网关安全产品。

网关安全产品可利用威胁情报追溯威胁行为轨迹,帮助用户进行威胁行为分析、定位威胁源和目的,追溯攻击的手段和路径,从源头解决网络威胁,最大范围内发现被攻击的节点,帮助企业更快响应和处理。

3.安装有效的杀毒软件,拦截查杀恶意文档和木马病毒。

杀毒软件可拦截恶意文档和木马病毒,如果用户不小心下载了恶意文档,杀毒软件可拦截查杀,阻止病毒运行,保护用户的终端安全。

4.及时修补系统补丁和重要软件的补丁。

六、IOC信息

MD5

D83B3586393CAB724519B27B9857A4B2
37166FA93D776147E545AAD7E30B4160
8FD10BD711AB374E8DE9841CF8824758
D4C3963B11E1732E1419ADF5F404E50C
58DE7C0DF5BD677E1A3CDC099019015D
A94BE8863E607DC7988F34F907309916
8444A5850EEBA2824D7C9BAD9189FF7E

url

https://trans-can.net/ini/thxqfLH82tJpLuGANcqTooJQEd6qGYu7cML5rMvr/-1/1291/f8ad26b5
https://trans-can.net/ini/Wsx8Gb5ZtTzzbdquHHtVI2sO9OQpOPRU4jOINehp/31878/1346/cab43a7f

[责任编辑:瑞瑞]

蓝色生死恋国语版全集在线 天下飘火为什么断更 命理师汤镇玮的微博 片仔癀哪个系列最好 势不可挡书包网
福田轻卡3.3米货车 兔宝宝定制多少钱一平 黑执事塞巴斯cp夏肉肉图 会声会影安装包 百度云 舒克和贝塔全集阅读
澳门威尼斯人官网游戏 澳门葡京平台首页 美高梅下载APP 棋牌官网app下载 澳门葡京App下载充值
澳门美高梅网上网站 456游戏棋牌游戏大厅 威尼斯人登录入口 3a人民币棋牌游戏 银河赌网会员
葡京手机版app 葡京赌场VIP登录 银河赌钱下注 澳门银河官网手机版 澳门永利下载APP
美高梅线上注册 美高梅平台官网 61棋牌游戏大厅 葡京在线现金网 澳门银河注册网投
澳门美高梅国际开户hzhuasheng.com.cn澳门美高梅国际开户t4 银河登录入口redberrydubai.com银河登录入口p2 澳门威尼斯人在线appcg8f.cn澳门威尼斯人在线appt0 3人玩棋牌游戏2obi.cn3人玩棋牌游戏p8 能提现的棋牌游戏3ddesigner.org能提现的棋牌游戏m6
葡京娱乐场会员hotrod-skins.com葡京娱乐场会员i4 威尼斯人网投6e4t.cn威尼斯人网投e2 澳门银河官网网投pakistanicraft.com澳门银河官网网投a0 澳门葡京手机端投注grg351.com澳门葡京手机端投注w8 123最新棋牌评测tqp2.cn123最新棋牌评测s8
美高梅线上官方网glm4.cn美高梅线上官方网o6 36棋牌游戏充值卡568972.com36棋牌游戏充值卡k4 澳门永利在线真人游戏chemhappy.com澳门永利在线真人游戏g2 欢乐棋牌trh7.cn欢乐棋牌c0 澳门永利优惠活动b68c.cn澳门永利优惠活动h8
7游棋牌下载aproposgroup.com7游棋牌下载d5 澳门永利在线彩票6e9v.cn澳门永利在线彩票z3 美高梅手机版国际xm9a6.com美高梅手机版国际v1 澳门威尼斯人官方网真人hd22.cn澳门威尼斯人官方网真人r9 澳门金沙网投赌博51trzw.com澳门金沙网投赌博n7
澳门威尼斯人网址 澳门威尼斯人官方网 澳门威尼斯人注册 澳门威尼斯人注册 澳门威尼斯人网址 澳门威尼斯人网站 澳门威尼斯人官方网 澳门威尼斯人网站 澳门威尼斯人网站 澳门威尼斯人官网 澳门威尼斯人网站 澳门威尼斯人网址 澳门威尼斯人官网 澳门威尼斯人网站 澳门威尼斯人注册 澳门威尼斯人网站 澳门威尼斯人下注 澳门威尼斯人现金网 威尼斯人官网 威尼斯人网站