2023-01-05(星期四)-恶意垃圾邮件导致agenttesla变体感染,可能是originlogger

前言

参考1
参考2

OriginLogger是一个开源的日志记录器,用于在应用程序中记录和管理日志信息。它提供了一种简单而灵活的方式来记录各种级别的日志,包括调试信息、警告和错误消息等。
AgentTesla病毒主要通过钓鱼邮件进行传播,钓鱼邮件内容多会伪装成装运建议、财务报表或预付款通知单等,邮件附件中包含AgentTesla病毒。当用户被诱导点击运行病毒后,病毒即会窃取用户终端上的隐私数据并上传C&C服务器。

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

感染链:

接收邮件->下载iso附件里->使用iso里的exe文件(这里的exe文件应该就是AgentTesla病毒)->??->AgentTesla病毒将所获取的信息上传到c2服务器
bin文件我不知道是搞毛的,感觉exe文件后面一步 应该是跟bin文件有关系,就打了??两个问号
看了wp知道,exe加载编码后的二进制文件,接着二进制文件解码,用于生成代理telsa流量

在这里插入图片描述

wp:

  • email --> attached .iso file --> contains .exe file --> .exe loads encoded binary --> binary decoded & used to generate Agent Telsa-style traffic

来自malspam的邮件信息:

在这里插入图片描述
显示了一个付款账单,一个iso附件

wp:

  • Received: from multisped.com.mk (multisped.com.mk [185.250.254.32]); Thu, 5 Jan 2023 04:18:36 +0000 (UTC)
  • From: JPMorgan Chase Bank N.A goran.apostolov@multisped.com.mk
  • Subject: BANK PAYMENT NOTIFICATION
  • Attachment name: Payment Copy_Chase Bank_Pdf.iso

相关文件:

一个iso文件,一个exe文件,两个二进制编码文件,我这里用virustotal网站去查看
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

  • SHA256哈希值:926a3142270a52f8afb93490d5dd21f0ca23bc0815ee6630068cf6409d8ee448
    —文件大小:1245184字节
    —文件名称:Payment Copy_Chase Bank_Pdf.iso
    -文件类型:UDF文件系统数据(版本1.5)“PAYMENT_COPY_CHASE_BANK_PDF”
    —文件描述:该文件在Windows和Mac主机上以磁盘镜像挂载

— SHA256哈希值:5016ba92afac1c2b2a2a6b17a09406869bd6f58cfe680f25030af1a1ba1c29a2
—文件大小:26112字节
—文件名称:Payment Copy_Chase Bank_Pdf.exe
—文件类型:PE32可执行文件(GUI) Intel 80386 Mono/。Net汇编,适用于MS Windows
—文件说明:从上述iso文件中检索到的Windows EXE

—SHA256哈希值:90d977ca0a3331d78005912d2b191d26e33fa2c6ef17602d6173164ba83fd85e
—文件大小:664,576字节
—文件存放位置:http://savory.com.bd/sav/Ztvfo.png
—文件类型:data
—文件描述:恶意二进制xor编码,ASCII字符串为:Sfhdjkpkowgnpcgoshb

  • SHA256哈希值:3883d374ba0736254a89e310b86f3c3769adcaed471b103b5c0a8a2f16cf5c8d
    —文件大小:664,576字节
    —文件类型:PE32可执行文件(DLL)(控制台)Intel 80386 Mono/.Net汇编,适用于MS Windows
    —文件描述:上述二进制文件解码后的恶意DLL文件

感染流量:

先查看域名,这些域名,只有三个可以搜出
在这里插入图片描述

1

在这里插入图片描述
在这里插入图片描述

2

在这里插入图片描述
在这里插入图片描述

3

在这里插入图片描述
在这里插入图片描述

wp:

  • 45.56.99.101 port 80 - savory.com.bd - GET /sav/Ztvfo.png
  • port 443 - api.ipify.org - HTTPS traffic, IP address by the infected Windows host, not inherently malicious
  • 204.11.58.28 port 587 - mail.transgear.in - unencrypted SMTP traffic generated by Agent Tesla variant

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/796092.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

OJ题目分享

OJ题目分享

【问题3】 本问题中,我们用以下的编码表示一定范围内的整数: 10〜35:以大写英文字母A至Z表示;0〜9:以字符’0’至’9’表示;-1〜-10:分别以!#$%?&*()表示;-11〜-36:以小写英文字母a至z表示; 这样一…
阅读更多...
C语言解决汉诺塔问题

C语言解决汉诺塔问题

背景 首先带大家了解一下汉诺塔问题 汉诺塔是一个典型的函数递归问题,汉诺塔描述了这样的场景,有三个柱子,A,B,C,A柱为起始柱,在A柱上面有若干大小不同的盘子,最下面的最大,最上面的最小&#x…
阅读更多...
Spring Cloud介绍

Spring Cloud介绍

一、SpringCloud总体概述 Cloud Foundry Service Broker:通用service集成进入Cloud Foundry Cluster:服务集群 Consul:注册中心 Security:安全认证 Stream:消息队列 Stream App Starters:Spring Cloud Stre…
阅读更多...
蓝桥杯算法基础(38)c++ STL

蓝桥杯算法基础(38)c++ STL

哈希表的常用函数 #include<iostream> #include<unordered_map> #include<string> int main(){ //创建一个unordered_map实例 std::unordered_map<std::string,int>hash_table; //插入数据 hash_table["one"]1; …
阅读更多...
【WEEK6】 【DAY1】DQL查询数据-第一部分【中文版】

【WEEK6】 【DAY1】DQL查询数据-第一部分【中文版】

2024.4.1 Monday 目录 4.DQL查询数据&#xff08;重点&#xff01;&#xff09;4.1.Data Query Language查询数据语言4.2.SELECT4.2.1.语法4.2.2.实践4.2.2.1.查询字段 SELECT 字段/* FROM 表查询全部的某某查询指定字段 4.2.2.2.给查询结果或者查询的这个表起别名&#xff08…
阅读更多...
socket套接字函数

socket套接字函数

Socket套接字函数是用于网络编程的一组API&#xff0c;用于在网络上进行通信。这些函数提供了一种通用的接口&#xff0c;使得程序能够通过网络连接进行数据的发送和接收。下面是对常见的几个Socket函数及其参数的解释&#xff1a; socket()函数&#xff1a; 作用&#xff1a;创…
阅读更多...
开源代码分享(17)-基于足球队训练算法(Football Team Training Algorithm,FTTA)的组合风速预测

开源代码分享(17)-基于足球队训练算法(Football Team Training Algorithm,FTTA)的组合风速预测

参考文献&#xff1a; [1]Tian Z, Gai M. Football team training algorithm: A novel sport-inspired meta-heuristic optimization algorithm for global optimization[J]. Expert Systems with Applications, 2024, 245: 123088. 1.算法基本原理 足球队训练算法&#xff0…
阅读更多...
【Redis】Redis 生产问题。如何确保缓存和数据库数据的一致性? 常见的缓存更新策略?

【Redis】Redis 生产问题。如何确保缓存和数据库数据的一致性? 常见的缓存更新策略?

目录 缓存穿透 缓存穿透解决办法 缓存击穿 击穿解决办法&#xff1f; 缓存穿透和缓存击穿的区别&#xff1f; 缓存雪崩 雪崩解决办法&#xff1f; 如何确保缓存和数据库数据的一致性&#xff1f; 常见的缓存更新策略&#xff1f; 缓存穿透 定义&#xff1a;缓存穿透说…
阅读更多...
算法| ss 二叉树

算法| ss 二叉树

二叉树的层序遍历 102. 二叉树的层序遍历 /*** Definition for a binary tree node.* function TreeNode(val, left, right) {* this.val (valundefined ? 0 : val)* this.left (leftundefined ? null : left)* this.right (rightundefined ? null : righ…
阅读更多...
【科普】卫星如何定位汽车

【科普】卫星如何定位汽车

卫星定位汽车的方法&#xff0c;主要依赖于全球定位系统&#xff08;GPS&#xff09;&#xff0c;它是一种结合卫星及通讯发展的技术&#xff0c;利用导航卫星进行测时和测距。用户接收机通过接收这些卫星播发的信号&#xff0c;可以测定其到卫星的距离并确定自身位置。下面&am…
阅读更多...
Android APP加固利器:深入了解混淆算法与混淆配置

Android APP加固利器:深入了解混淆算法与混淆配置

Android APP 加固是优化 APK 安全性的一种方法&#xff0c;常见的加固方式有混淆代码、加壳、数据加密、动态加载等。下面介绍一下 Android APP 加固的具体实现方式。 混淆代码 使用 ipaguard工具可以对代码进行混淆&#xff0c;使得反编译出来的代码很难阅读和理解&#xff…
阅读更多...
授人以渔 选购篇二:冰箱选购要点

授人以渔 选购篇二:冰箱选购要点

文章目录 系列文章容量&#xff1a;每人约需70-80升空间门体类型与尺寸制冷方式&#xff1a;风冷变频能效等级&#xff1a;一级能效品牌其他 系列文章 授人以渔 选购篇一&#xff1a;信用卡选购要点 授人以渔 选购篇二&#xff1a;冰箱选购要点 授人以渔 选购篇三&#xff1a;…
阅读更多...
阿里巴巴蔡崇信:中国AI追赶神速,制造业霸主地位无可撼动!

阿里巴巴蔡崇信:中国AI追赶神速,制造业霸主地位无可撼动!

快科技4月5日讯&#xff0c;阿里巴巴集团创始人兼董事长蔡崇信近日就AI技术领域及全球制造业形势发表看法。他认为&#xff0c;尽管中国在AI技术方面与美国有一定差距&#xff0c;但中国的追赶速度非常快。 AI-321 | 专注于AI工具分享的网站 AI工具集 | 人工智能工具箱 | 全球…
阅读更多...
金三银四面试题(十五):Java基础问题(6)

金三银四面试题(十五):Java基础问题(6)

这部分面试题多用于面试的热身运动&#xff0c;对很多找实习和准备毕业找工作的小伙伴至关重要。 HashMap与ConcurrentHashMap 都是key-value 形式的存储数据&#xff1b; HashMap 是线程不安全的&#xff0c;ConcurrentHashMap 是JUC 下的线程安全的&#xff1b; HashMap 底层…
阅读更多...
NumPy 数组对象

NumPy 数组对象

NumPy 数组对象 1. Example 12. Example 2References NumPy 数组一般是同质的 (但有一种特殊的数组类型例外&#xff0c;它是异质的)&#xff0c;即数组中的所有元素类型必须是一致的。这样有一个好处&#xff1a;如果我们知道数组中的元素均为同一类型&#xff0c;该数组所需的…
阅读更多...
2024.4.6学习笔记

2024.4.6学习笔记

今日学习韩顺平java0200_韩顺平Java_对象机制练习_哔哩哔哩_bilibili 今日学习p315-p328 动态绑定机制 当调用方法对象的时候&#xff0c;该方法会和该对象的内存地址/运行类型绑定 当调用对象属性时&#xff0c;没有动态绑定机制&#xff0c;哪里声明&#xff0c;哪里使用 …
阅读更多...
2024年ERP管理系统职业技能大赛软件测试赛项-销售专员模块Bug清单

2024年ERP管理系统职业技能大赛软件测试赛项-销售专员模块Bug清单

目录 一、ERP管理系统说明: 二、销售专员模块部分Bug缺陷清单: 一、ERP管理系统说明: ERP(资源协同)管理平台将采购、销售、库存、服务等活动紧密衔接在一起,提供完整供应链服务࿰
阅读更多...
【单片机】PMS5003,PM2.5传感器数据读取处理

【单片机】PMS5003,PM2.5传感器数据读取处理

文章目录 传感器介绍数据处理解析pm2.5的代码帮助、问询 传感器介绍 PMS5003是一款基于激光散射原理的数字式通用颗粒物浓度传感器,可连续采集 并计算单位体积内空气中不同粒径的悬浮颗粒物个数,即颗粒物浓度分布,进而 换算成为质量浓度,并以通用数字接口形式输出。本传感器可…
阅读更多...
综测仪MT8862A控制方法

综测仪MT8862A控制方法

实现自动化控制&#xff0c;本次为大家讲解综测仪MT8862A的控制逻辑。 新建底层控制逻辑 在文件basis_contorl.py中写入仪器控制底层代码&#xff0c;代码如下&#xff1a; import tkinter.messagebox import pyvisaclass InstrumentControl(object):inst Nonedef __init__(…
阅读更多...
Python中的scorecardpy.var_filter函数

Python中的scorecardpy.var_filter函数

scorecardpy是一个用于构建评分卡模型的Python库。在评分卡模型的构建过程中,变量选择是一个关键的步骤,而var_filter函数则是用于进行变量筛选的工具。本文和你一起来探索scorecardpy中的var_filter函数,让你以最短的时间明白这个函数的原理。也可以利用碎片化的时间巩固这…
阅读更多...
最新文章

Copyright @ 2022~2023