背景
从2018年4月起至今,一个疑似来自南美洲的APT组织盲眼鹰(APT-C-36)针对哥伦比亚政府机构和大型公司(金融、石油、制造等行业)等重要领域展开了有组织、有计划、针对性的长期不间断攻击。
其攻击平台主要为Windows,攻击目标锁定为哥伦比亚政企机构,截止目前360威胁情报中心一共捕获了29个针对性的诱饵文档,Windows平台木马样本62个,以及多个相关的恶意域名。
2018年4月,360威胁情报中心捕获到第一个针对哥伦比亚政府的定向攻击样本,在此后近一年时间内,我们又先后捕获了多起针对哥伦比亚政企机构的定向攻击。攻击者习惯将带有恶意宏的MHTML格式的Office Word诱饵文档通过RAR加密后配合鱼叉邮件对目标进行投递,然后将RAR解压密码附带在邮件正文中,具有很好的躲避邮件网关查杀的效果。其最终目的是植入Imminent后门以实现对目标计算机的控制,为接下来的横向移动提供基础。
360威胁情报中心通过分析攻击者投递的多个加密的Office Word文档的最后修改时间、MHTML文档字符集(语言环境)、攻击者使用的作者名称等信息,并结合地缘政治等APT攻击的相关要素,判断攻击者疑似来自于UTC时区在西4区(UTC-4)正负1小时对应的地理位置区域(南美洲)。
由于该组织攻击的目标中有一个特色目标是哥伦比亚盲人研究所,而哥伦比亚在足球领域又被称为南美雄鹰,结合该组织的一些其它特点以及360威胁情报中心对 APT 组织的命名规则,我们将该组织命名为盲眼鹰(APT-C-36)。
攻击目标和受害者分析
根据关联到的样本对受害者进行分类统计后,我们发现攻击者主要针对哥伦比亚的政府机构和大型公司,其目的是植入Imminent后门以实现对目标计算机的控制,为接下来的横向移动等攻击行为提供基础。从受害者的背景信息来看,攻击者所关注的政企机构在战略层面有重大意义,同时也不排除其同时有窃取商业机密和知识产权的动机。
伪装来源及行业分布
基于360威胁情报中心对该APT组织的攻击信息统计显示,攻击者伪装成哥伦比亚国家民事登记处、哥伦比亚国家税务和海关总署、哥伦比亚国家统计局、哥伦比亚国家网络警察局、哥伦比亚国家司法部门,对哥伦比亚的政府、金融机构,本国大型企业或跨国公司的哥伦比亚分公司进行攻击,相关信息统计如下。
诱饵伪装来源 |
攻击目标 |
哥伦比亚国家民事登记处 | 哥伦比亚国家盲人研究所 |
哥伦比亚国家税务和海关总署 | 哥伦比亚国家石油公司
哥伦比亚石油公司(Hocol) 哥伦比亚车轮制造商(IMSA) 哥伦比亚Byington公司 |
哥伦比亚国家统计局 | 哥伦比亚物流公司(Almaviva) |
哥伦比亚国家网络警察局 | 哥伦比亚国家金融机构(BancoAgrario) |
哥伦比亚国家司法部门 | 哥伦比亚银行(Banco de Occidente)
ATH哥伦比亚分部 |
哥伦比亚移民权力机构 | Sun Chemical哥伦比亚分部 |
攻击者使用的部分恶意域名也仿冒了哥伦比亚的政府网站,比如diangovcomuiscia.com从名称上仿冒了muiscia.dian.gov.co,而后者是哥伦比亚税务与海关总署官网。
攻击者对使用的木马程序的公司信息也进行了伪造,相关列表如下:
木马程序公司信息 |
公司信息 |
Abbott Laboratories | 位于美国的一家医疗保健公司 |
Chevron | 雪佛龙,美国一家跨国能源公司。 |
Energizer Holdings Inc. | 美国电池制造商 |
Progressive Corporation | 美国最大汽车保险提供商 |
Simon Property Group Inc | 美国商业地产公司 |
Sports Authority Inc | 美国的一家体育用品零售商 |
Strongeagle, Lda. | 葡萄牙一家与公司法,税务债务和法院诉讼相关公司 |
部分受影响目标
360威胁情报中心在近一年内针对该APT攻击进行监控和关联后发现了其多个用于攻击哥伦比亚政府、金融机构及大型企业的相关邮件。基于对鱼叉邮件的分析,我们列举了如下针对性的诱饵文档以及对应的受害政企。
- 被攻击机构信息及相关邮件
哥伦比亚国家石油公司(www.ecopetrol.com.co)主要经营范围包括石油、天然气勘探开发,管线建设以及石油炼制。
攻击哥伦比亚国家石油公司的相关邮件
- 相关诱饵文档
攻击者伪装成哥伦比亚国家税务和海关总署进行攻击活动:
Dian Embargo Bancario # 609776.doc
- 被攻击机构信息及相关邮件
Hocol成立于1956年,是哥伦比亚国家石油公司Ecopetrol的子公司,专注于哥伦比亚国内各地的勘探和生产活动。
攻击哥伦比亚石油公司Hocol的相关邮件
- 相关诱饵文档
攻击者伪装成哥伦比亚国家税务和海关总署进行攻击活动:
estado de cuenta.doc
- 被攻击机构信息及相关邮件
Almaviva是一家物流运营商,通过流程和工具的安全管理优化供应链,确保物流运营的效率。
攻击物流公司Almaviva的相关邮件
- 相关诱饵文档
攻击者伪装成哥伦比亚国家统计局进行攻击活动:
listado de funcionarios autorizados para censo nacional 2018.doc
- 被攻击机构信息及相关邮件
哥伦比亚国家金融机构(BancoAgrario)主要致力于向农村地区提供金融服务。
攻击BancoAgrario的相关邮件
- 相关诱饵文档
攻击者伪装成哥伦比亚国家网络警察局(caivirtual.policia.gov.co)进行攻击活动
Reporte fraude desde su dirrecion ip.doc
- 被攻击机构信息及相关邮件
IMSA是专业的车轮制造商,致力于使用优质原材料进行车轮制造。
攻击IMSA的相关邮件
- 相关诱饵文档
攻击者伪装成哥伦比亚国家税务和海关总署(www.dian.gov.co)进行攻击活动
Dian Embargo Bancario # 609776.doc
- 被攻击机构信息
Banco de Occidente是哥伦比亚最大的银行之一,是哥伦比亚Grupo Aval金融服务集团的一部分。
攻击Banco de Occidente的相关邮件
- 相关诱饵文档
攻击者伪装成哥伦比亚国家司法部门(www.fiscalia.gov.co)进行攻击活动
Citacion Fiscalia general de la Nacion Proceso 305351T.doc
- 被攻击机构信息
ATH是一个跨国银行金融机构,在哥伦比亚开设有分部。
攻击ATH哥伦比亚分部相关邮件
- 相关诱饵文档
攻击者伪装成哥伦比亚国家司法部门(www.fiscalia.gov.co)进行攻击活动
Fiscalia proceso 305351T.doc
- 被攻击机构信息
Sun Chemical是印刷油墨,涂料等用品的跨国企业,同样在哥伦比亚开设有分公司。
攻击Sun Chemical哥伦比亚分公司的邮件
- 相关诱饵文档
攻击者伪装成哥伦比亚移民权力机构(www.migracioncolombia.gov.co)进行攻击活动
Proceso Pendiente Migracion Colombia.doc
- 被攻击机构信息
Byington对哥伦比亚主要的商业公司进行评级和财务评估。
攻击哥伦比亚Byington公司的相关邮件
- 相关诱饵文档
攻击者伪装成哥伦比亚国家税务和海关总署(www.dian.gov.co)进行攻击活动
estado de cuenta.doc
技术细节
360威胁情报中心基于该APT组织常见的攻击手法对整个攻击过程进行了详细分析。
最新的一次攻击
2019年2月14日,360威胁情报中心再次监控到该APT组织的最新攻击活动,根据最近捕获到的诱饵文档(MD5:0c97d7f6a1835a3fe64c1c625ea109ed)并没有找到对应的邮件,不过在进行关联调查后,我们发现了另外一个类似的诱饵文档(MD5:3de286896c8eb68a21a6dcf7dae8ec97)及其对应的有针对性攻击邮件(MD5:f2d5cb747110b43558140c700dbf0e5e)。该邮件伪装来自哥伦比亚国家民事登记处,对哥伦比亚国家盲人研究所进行攻击。
最近捕获的诱饵文档,伪装来自哥伦比亚国家民事登记处(MD5:0c97d7f6a1835a3fe64c1c625ea109ed)
攻击哥伦比亚国家盲人研究所的邮件
伪造来源及躲避查杀
攻击者在攻击不同目标时,仔细考虑了如何伪装邮件的来源从而使其看起来更加可信。比如通过伪装民事登记处来攻击盲人研究所,伪装成税务和海关总署来攻击那些有国际贸易的企业,伪装成司法部门和移民权力机构来针对银行和跨国公司哥伦比亚分部等。
攻击者同样对邮件内容进行精心构造,使其看似源自被伪造的机构,且与被攻击者日常工作生活相关。下图为伪装成哥伦比亚国家司法部门对ATH哥伦比亚分部的攻击中对应邮件的内容翻译:
邮件附件被加密存放在压缩包内,并在邮件正文中提供解密密码,用于绕过邮件网关的安全检测。
邮件正文附带RAR密码
对邮件进行分析后,我们发现攻击者在发送邮件时都使用了VPN等方式来隐藏自身,因此尚未能获得发件者的真实IP,只是发现这些邮件通过位于美国佛罗里达州的IDC机房发出,部分相关的IP地址为:
128.90.106.22
128.90.107.21
128.90.107.189
128.90.107.236
128.90.108.126
128.90.114.5
128.90.115.28
128.90.115.179
诱饵文档
此次攻击活动诱饵文档均采用MHTML格式的Word文档进行攻击,MHTML格式的Word文档能在一定程度上避免杀毒软件的查杀。例如360威胁情报中心在2019年2月中旬捕获的样本:Registraduria Nacional – Notificacion cancelacion cedula de ciudadania.doc
文件名 | Registraduria Nacional – Notificacion cancelacion cedula de ciudadania.doc |
MD5 | 0c97d7f6a1835a3fe64c1c625ea109ed |
伪装来源 | 哥伦比亚国家民事登记处 |
MHTML格式的Word文档
文档伪装成哥伦比亚国家民事登记处,并利用西班牙语提示受害者开启宏代码,从而执行后续Payload
当受害者打开该MIME文档并启用宏功能后,将自动调用Document_Open函数:
Document_Open首先调用Main函数下载hxxp://diangovcomuiscia.com/media/a.jpg并保存为%AppData%\1.exe(md5: ef9f19525e7862fb71175c0bbfe74247):
接着调用fcL4qOb4函数,设置伪装成Google的计划任务,相关计划任务的信息如下:
作者 | Google Inc |
描述(翻译后) | 在用户登录系统时检查并上传有关Google解决方案的使用和错误的信息 |
任务内容 | 启动%AppData%\1.exe |
任务定义 | GoogleUpdate |
相关代码如下图所示:
Payload(Imminent)
文件名 | 1.exe |
MD5 | ef9f19525e7862fb71175c0bbfe74247 |
编译信息 | .NET |
释放执行的1.exe为最终的木马后门,该样本为混淆比较严重的C#代码:
去混淆后可以明确看到Imminent Monitor字符串,该样本为Imminent Monitor RAT:
样本运行后首先从资源文件中提取名称为“application”的数据,并解密出一个来自7zip合法的lzma.dll库:
随后从资源文件中提取名称为“_7z的”数据,并利用lzma.dll解压缩该段数据,得到真正的Imminent Monitor RAT样本(MD5: 4fd291e3319eb3433d91ee24cc39102e):
核心功能分析
MD5 | 4fd291e3319eb3433d91ee24cc39102e |
- 静态分析
该样本包含Imminent Monitor RAT实体功能代码,但采用了ConfuserEx+Eazfuscator.NET双重淆器加密了代码,如下图所示:
部分去混淆后可以看出其提供的功能如下表:
ID | 功能 |
bDfBqxDCINCfwSAfMnZwspLefnc | 主机管理 |
ChatPacket | 用户支持 |
cokLfFnjBwgKtzdTpdXSgQIPacR | 注册表管理 |
CommandPromptPacket | 远程命令行 |
ConnectionSocketPacket | 网络传输通道管理 |
ExecutePacket | 上传、下载、执行PE文件 |
FastTransferPacket | 支持快速传输 |
FilePacket | 文件管理 |
FileThumbnailGallery | 支持文件缩略图库 |
KeyLoggerPacket | 键盘记录 |
MalwareRemovalPacket | 恶意功能管理 |
MessageBoxPacket | 聊天消息 |
MicrophonePacket | 麦克风聊天 |
MouseActionPacket | 鼠标动作 |
MouseButtonPacket | 鼠标左、右、掠过等 |
NetworkStatPacket | 主机网络管理 |
PacketHeader | 通信数据头信息 |
PasswordRecoveryPacket | 浏览器密码恢复 |
PluginPacket | 插件管理 |
ProcessPacket | 进程管理 |
ProxyPacket | 代理管理(反向代理等) |
RDPPacket | 提供远程桌面功能 |
RegistryPacket | 注册表操作 |
RemoteDesktopPacket | 标志远程桌面数据包 |
ScriptPacket | 执行脚本(html、vbs、batch) |
SpecialFolderPacket | Windows特殊文件夹 |
StartupPacket | 启动项操作 |
TcpConnectionPacket | TCP刷新及关闭 |
ThumbnailPacket | 缩略图相关 |
TransferHeader | 通信连接操作 |
WebcamPacket | 网络摄像头相关 |
WindowPacket | Windows操作(刷新、最大化、最小化等) |
通过分析与其官方网站提供的功能说明一致:
- 动态调试
核心模块运行后会检测是否在%temp%\[appname]目录下,如果不在则将自身拷贝为%temp%\[appname]\[appname],并设置文件属性为隐藏:
然后启动%temp%\[appname]:
最后删除原始文件,并退出进程
样本重新启动后将在%AppData%目录创建Imminent目录,该目录将保存加密后的日志、网络信息、系统信息等文件,当接受到相应指令时发送到服务端:
C&C地址为:mentes.publicvm.com:4050
TTP(战术、技术、过程)
360威胁情报中心总结了该APT组织的TTP如下:
攻击目标 | 哥伦比亚的政府机构、大型企业以及跨国企业的哥伦比亚分支部门 |
最早活动时间 | 2018年4月 |
主要风险 | 主机被远程控制,机密信息被窃取 |
攻击入口 | 鱼叉邮件 |
初始载荷 | MHTML文件格式含恶意宏代码的Word文档 |
恶意代码 | Imminent后门 |
通信控制 | 基于动态域名的远程控制 |
抗检测能力 | 中 |
受影响应用 | Windows系统主机 |
主要攻击战术技术特征分析 |
|
溯源和关联
360威胁情报中心通过分析攻击者投递的多个加密的Office Word文档的最后修改时间、MHTML文档字符集(语言环境)等信息,并结合地缘政治等APT攻击的相关要素,怀疑攻击者来自于UTC时区在西4区(UTC-4)正负1小时对应的地理位置区域。
可靠的文件修改时间
以投递的加密RAR压缩包(Registraduria Nacional del Estado Civil -Proceso inicado.rar)为例,由于RAR会保存文件的修改时间,所以解密RAR包后得到的Word文档的修改时间非常可靠。右边为解密得到的Word文档修改时间,这和左边诱饵文档(MHTML)元信息内包含的文档修改时间一致(由于笔者处于UTC+8时区,需要将文件修改时间减8小时对比):
通过对比所有加密RAR文件内的诱饵文档修改时间和文档元信息内的文档修改时间,我们有很大的把握确认文档元信息内的修改时间为攻击者的真实修改时间,这样我们可以以捕获到的所有诱饵文档元信息内的修改时间做数据统计。
MHTML诱饵文档修改时间统计
我们统计了所有诱饵文档的修改时间如下表:
UTC+00 |
00:32 |
01:15 |
01:15 |
01:17 |
01:35 |
01:59 |
02:57 |
03:28 |
04:40 |
04:55 |
05:17 |
12:27 |
12:49 |
12:50 |
13:38 |
13:42 |
13:49 |
14:21 |
14:22 |
15:19 |
15:26 |
15:30 |
15:56 |
17:22 |
17:58 |
18:31 |
20:53 |
21:31 |
23:30 |
从大量样本的修改时间可以看出,从未出现过修改时间在05:30到12:30之间的诱饵文档。基于最合理的推测:正常的休息时间应该在晚12点到早8点之间的区域(睡觉时间段),那么攻击者所处的时区应该在西4区(UTC-4)正负1小时的区间内。
PE时间戳与诱饵文档修改时间对比
我们还统计了木马程序去混淆后dump出来的核心PE文件时间戳信息,与每个对应的诱饵文档修改时间进行对比可以看出:诱饵文档的修改时间与对应的PE文件的时间戳间隔都非常接近,这更加说明了该攻击活动的定向属性:
诱饵文档修改时间 | 木马核心模块时间戳 |
2019/2/11 17:58 | 2019/2/14 3:28 |
2018/12/3 15:30 | 2018/12/3 23:26 |
2018/11/26 18:31 | 2018/10/17 22:29 |
2018/11/15 12:49 | 2018/10/17 22:29 |
2018/11/8 14:21 | 2018/10/17 22:29 |
2018/10/26 13:49 | 2018/10/17 22:29 |
2018/10/22 17:22 | 2018/10/17 22:29 |
2018/10/12 15:56 | 2018/10/17 22:29 |
2018/10/4 5:17 | |
2018/9/13 13:42 | 2018/8/27 22:08 |
2018/9/9 0:32 | |
2018/9/2 20:53 | 2018/8/27 22:08 |
2018/8/27 15:19 | 2018/8/27 22:08 |
2018/8/6 1:35 | 2018/8/1 11:25 |
2018/8/1 2:57 | 2018/8/1 11:25 |
2018/7/31 1:59 | 2018/8/1 11:25 |
2018/7/30 1:17 | 2018/8/1 11:25 |
2018/7/26 3:28 | 2018/8/27 22:08 |
2018/7/10 4:55 | 2018/7/11 11:47 |
2018/6/19 21:31 | |
2018/6/14 1:15 | |
2018/6/14 1:15 | |
2018/5/29 13:38 | |
2018/5/18 14:22 | 2018/5/22 20:11 |
2018/4/28 12:27 | 2018/5/22 20:11 |
2018/4/25 23:30 | 2018/5/22 20:11 |
2018/4/24 12:50 | |
2018/4/17 15:26 | 2018/5/22 20:11 |
2018/4/6 4:40 |
语言和charset
另外,我们统计了所有的诱饵文档(MHTML),可以看到所有诱饵文档都基于西欧语言环境(西班牙语等)编写:
Charset:windows-1252
而部分诱饵文档的作者信息也是西班牙文:
Centro de Servicios Judiciales
攻击者画像
基于攻击者所处时区、使用的语言以及APT攻击的地缘政治因素我们总结了以下观点:
- 攻击者所处时区的地理范围刚好处于南美洲
- 南美洲大部分国家都使用西班牙语(除巴西),这和攻击者的语言环境及Office用户名吻合
- APT攻击大部分基于地缘政治因素(本国或邻国)
- 从受害者的背景以及本次攻击行动的持续时间来看,攻击者所关注的政企机构在战略层面有重大意义,且持续时间较长。
综上所述,360威胁情报中心认为攻击者有较大可能是来源于南美洲国家的具有国家背景的APT组织。
IOC
诱饵文档MD5 | 文件名 |
0c97d7f6a1835a3fe64c1c625ea109ed | Registraduria Nacional – Notificacion cancelacion cedula de ciudadania.doc |
16d3f85f03c72337338875a437f017b4 | estado de cuenta.doc |
27a9ca89aaa7cef1ccb12ddefa7350af | 455be8a4210b84f0e93dd96f7a0eec4ef9816d47c11e28cf7104647330a03f6d.bin |
3a255e93b193ce654a5b1c05178f7e3b | estado de cuenta.doc |
3be90f2bb307ce1f57d5285dee6b15bc | Reporte Datacredito.doc |
3de286896c8eb68a21a6dcf7dae8ec97 | egistraduria Nacional del Estado Civil -Proceso inicado.doc |
46665f9b602201f86eef6b39df618c4a | Orden de comparendo N\xc2\xb0 5098.doc |
476657db56e3199d9b56b580ea13ddc0 | Reporte Negativo como codeudor.doc |
4bbfc852774dd0a13ebe6541413160bb | listado de funcionarios autorizados para censo nacional 2018.doc |
51591a026b0962572605da4f8ecc7b1f | Orden de comparendo multa detallada.doc |
66f332ee6b6e6c63f4f94eed6fb32805 | Codigo Tarjeta Exito Regalo.doc |
688b7c8278aad4a0cc36b2af7960f32c | fotos.doc |
7fb75146bf6fba03df81bf933a7eb97d | Dian su deuda a la fecha.doc |
91cd02997b7a9b0db23f9f6377315333 | credito solicitado.doc |
9a9167abad9fcab18e02ef411922a7c3 | comparendo electronico.doc |
a91157a792de47d435df66cccd825b3f | C:\Users\kenneth.ubeda\Desktop\Migracion colombia proceso pendiente 509876.doc |
b4ab56d5feef2a35071cc70c40e03382 | Reporte fraude desde su dirrecion ip.doc |
b6691f01e6c270e6ff3bde0ad9d01fff | Dian Embargo Prima de Navidad.doc |
cbbd2b9a9dc854d9e58a15f350012cb6 | IMPORTANTE IMPORTANT.doc |
cf906422ad12fed1c64cf0a021e0f764 | Migracion colombia Proceso pendiente.doc – copia.nono.txt |
e3050e63631ccdf69322dc89bf715667 | Citacion Fiscalia general de la Nacion Proceso 305351T.doc |
ea5b820b061ff01c8da527033063a905 | Fiscalia proceso 305351T.doc |
eb2ea99918d39b90534db3986806bf0c | Proceso Pendiente Migracion Colombia (2).doc |
ecccdbb43f60c629ef034b1f401c7fee | Dian Embargo Bancario |
ee5531fb614697a70c38a9c8f6891ed6 | BoardingPass.doc |
fd436dc13e043122236915d7b03782a5 | text.doc |
bf95e540fd6e155a36b27ad04e7c8369 | Migracion colombia Proceso pendiente.mht |
ce589e5e6f09b603097f215b0fb3b738 | estado de cuenta.mht |
b0687578284b1d20b9b45a34aaa4a592 | sanción declaracion de renta.doc |
木马MD5 |
0915566735968b4ea5f5dadbf7d585cc |
0a4c0d8994ab45e5e6968463333429e8 |
0e874e8859c3084f7df5fdfdce4cf5e2 |
1733079217ac6b8f1699b91abfb5d578 |
19d4a9aee1841e3aee35e115fe81b6ab |
1bc52faf563eeda4207272d8c57f27cb |
20c57c5efa39d963d3a1470c5b1e0b36 |
2d52f51831bb09c03ef6d4237df554f3 |
30ecfee4ae0ae72cf645c716bef840a0 |
3155a8d95873411cb8930b992c357ec4 |
3205464645148d393eac89d085b49afe |
352c40f10055b5c8c7e1e11a5d3d5034 |
42f6f0345d197c20aa749db1b65ee55e |
4354cb04d0ac36dab76606c326bcb187 |
43c58adee9cb4ef968bfc14816a4762b |
4daacd7f717e567e25afd46cbf0250c0 |
4e7251029eb4069ba4bf6605ee30a610 |
50064c54922a98dc1182c481e5af6dd4 |
519ece9d56d4475f0b1287c0d22ebfc2 |
53774d4cbd044b26ed09909c7f4d32b3 |
5be9be1914b4f420728a39fdb060415e |
5dee0ff120717a6123f1e9c05b5bdbc2 |
60daac2b50cb0a8bd86060d1c288cae2 |
6d1e586fbbb5e1f9fbcc31ff2fbe3c8c |
763fe5a0f9f4f90bdc0e563518469566 |
7a2d4c22005397950bcd4659dd8ec249 |
7b69e3aaba970c25b40fad29a564a0cf |
8518ad447419a4e30b7d19c62953ccaf |
8ec736a9a718877b32f113b4c917a97a |
940d7a7b6f364fbcb95a3a77eb2f44b4 |
9b3250409072ce5b4e4bc467f29102d2 |
9db2ac3c28cb34ae54508fab90a0fde7 |
a1c29db682177b252d7298fed0c18ebe |
a3f0468657e66c72f67b7867b4c03b0f |
a7cc22a454d392a89b62d779f5b0c724 |
aaf04ac5d630081210a8199680dd2d4f |
ac1988382e3bcb734b60908efa80d3a5 |
ad2c940af4c10f43a4bdb6f88a447c85 |
afb80e29c0883fbff96de4f06d7c3aca |
b0ed1d7b16dcc5456b8cf2b5f76707d6 |
b3be31800a8fe329f7d73171dd9d8fe2 |
b5887fc368cc6c6f490b4a8a4d8cc469 |
b9d9083f182d696341a54a4f3a17271f |
c654ad00856161108b90c5d0f2afbda1 |
ccf912e3887cae5195d35437e92280c4 |
d0cd207ae63850be7d0f5f9bea798fda |
df91ac31038dda3824b7258c65009808 |
e2771285fe692ee131cbc072e1e9c85d |
e2f9aabb2e7969efd71694e749093c8b |
e3dad905cecdcf49aa503c001c82940d |
e4461c579fb394c41b431b1268aadf22 |
e770a4fbada35417fb5f021353c22d55 |
e7d8f836ddba549a5e94ad09086be126 |
e9e4ded00a733fdee91ee142436242f4 |
edef2170607979246d33753792967dcf |
ef9f19525e7862fb71175c0bbfe74247 |
f1e85e3876ddb88acd07e97c417191f4 |
f2776ed4189f9c85c66dd78a94c13ca2 |
f2d81d242785ee17e7af2725562e5eae |
f3d22437fae14bcd3918d00f17362aad |
f7eb9a41fb41fa7e5b992a75879c71e7 |
f90fcf64000e8d378eec8a3965cff10a |
恶意域名 |
ceoempresarialsas.com |
ceosas.linkpc.net |
ceoseguros.com |
diangovcomuiscia.com |
ismaboli.com |
medicosco.publicvm.com |
mentes.publicvm.com |
恶意URL |
http://ceoempresarialsas.com/js/d.jpg |
http://ceoseguros.com/css/c.jpg |
http://ceoseguros.com/css/d.jpg |
http://diangovcomuiscia.com/media/a.jpg |
http://dianmuiscaingreso.com/css/w.jpg |
http://dianportalcomco.com/bin/w.jpg |
http://ismaboli.com/dir/i.jpg |
http://ismaboli.com/js/i.jpg |
RAR加密压缩包MD5 | 密码 |
592C9B2947CA31916167386EDD0A4936 | censonacionaldepoblacion2018307421e68dd993c4a8bb9e3d5e6c066946ro |
A355597A4DD13B3F882DB243D47D57EE | documentoadjuntodian876e68dd993c4a8bb9e3d5e6c066946deudaseptiembre |
77FEC4FA8E24D580C4A3E8E58C76A297 | procesofiscalia30535120180821e68dd993c4a8bb9e3d5e6c066946se |
0E6533DDE4D850BB7254A5F3B152A623 | migracioncolombia |
F486CDF5EF6A1992E6806B677A59B22A | credito |
FECB2BB53F4B51715BE5CC95CFB8546F | 421e68dd993c4a8bb9e3d5e6c066946r |
19487E0CBFDB687538C15E1E45F9B805 | centrociberneticoenviosipfraude876e68dd993c4a8bb9e3d5e6c066946octubre |
99B258E9E06158CFA17EE235A280773A | fiscaliadocumentos421e68dd993c4a8bb9e3d5e6c066946agosto |
B6E43837F79015FD0E05C4F4B2F30FA5 | 20180709registraduria421e68dd993c4a8bb9e3d5e6c066946r |
参考链接
[1].https://cloudblogs.microsoft.com/microsoftsecure/2018/05/10/enhancing-office-365-advanced-threat-protection-with-detonation-based-heuristics-and-machine-learning/
[2].http://www.pwncode.club/2018/09/mhtml-macro-documents-targeting.html