新鲜出炉（黄金鼠长什么样子图片）黄金鼠长什么样子图片大全，细数黄金鼠组织(APT-C-27)的主要攻击武器，野花影视大全在线观看免费高清6，荡受的奇迹暖暖之旅np，

1.黄金鼠鱼

点击上方关注我们作者：360高级威胁研究分析中心中东地区局势动荡不安，既有其历史原因也有地缘政治原因，世界政治格局、国际大国政治更是给该区域带来了新的挑战，叙利亚、土耳其之间的政治、军事冲突正是这种形势下的一个缩影。

2.黄金鼠图片

APT-C-27黄金鼠组织是涉及中东的APT攻击组织，从2014年11月起，其对叙利亚、土耳其地区展开了有组织的不间断攻击PC端和Android端的恶意样本主要伪装成聊天软件，通过水坑攻击配合社会工程学进行攻击，攻击者熟悉阿拉伯语。

3.黄金鼠鱼吃小鱼吗

此次360高级威胁研究分析中心发现捕获到了该组织大量内部利用工具和攻击样本，我们一直对Android端的相关样本、RAT持续监控，发现这里面既有可能是内部利用工具，也有可能是攻击样本、测试样本，包括为了便于社会工程学攻击编写的代码、相关文件解密工具、RAT、为了简化攻击所编写的内部组件、Android端RAT以及进程守护APK。

4.黄金鼠鱼怎么繁殖

通过对这些工具、样本分析，发现黄金鼠针对中东地区的最新行动，同时我们可以逆推出该APT组织在攻击中的整体思路、所使用的攻击方式、未被披露的攻击工具，以及可能还没有被发现的攻击行动PC端攻击武器黄金鼠组织PC端涉及样本数量多，种类复杂，既包括该组织的攻击样本，也有大量其内部编写的工具。

5.黄金鼠吸鱼怎办

内部解密工具工具主要功能为加密解密enc17后缀命名的文件，我们推测黄金鼠组织可能对某些文档进行了加密处理，并且以enc17后缀作为存储一般情况下，APT组织对于攻击目标机器上的重要文档、图片进行加密存储，便于传输，也不易被发现，可以利用后缀尝试发现是否被黄金鼠组织攻击，发现其使用的攻击样本。

6.黄金鼠动画片

首先对路径替换并Base64后异或算法解密。

7.黄金鼠游戏

加解密以enc17后缀命名的文件。

8.黄金鼠的寓意是什么意思

文档枚举工具枚举C到M盘符下的所有以txt、doc、docx、ppt、pptx、xls、xlsx、pdf后缀的文档文件，依次存储文件路径以及文件名称这个工具可以作为内部自查的小工具，搜索机器上的所有文档工具，也可以作为攻击组件的组成部分，下发到中招机器，获取攻击目标的所有重要文档。

9.黄金鼠手串

判断文件创建时间，将昨天之前的文档移动存储。

10.黄金鼠吃什么

最后依次存储文件路径以及文件名称从脸谱网提取联系人工具社会工程学攻击中方便提取Facebook联系人所编写的EXE，通过本地存储的html脸谱网网页文件，批量从中提取网页内部指定字段之间的联系人信息，明显攻击者想要通过Facebook获取进攻目标的相关信息，采用社交攻击。

导出数据到xls工具将需要的信息导出到xls，为工作提供便利。

TxtToVcf工具将txt文件内部存储的联系人信息转换为vcf文件黄金鼠组织一直涉及PC端、Android端的同时攻击，手机内部存储联系人信息的VCF文件会被经常使用，所以他们编写了这个软件用于将获取的联系人信息转换为VCF，方便存储导入。

联系人文本转换工具与之前的工具相似，将存有指定格式联系人的纯文本文件转化为联系人方式。

电话号码识别工具利用公开API提供的接口查询电话号码的拨号人信息APT-C-27在通过安卓端攻击目标后，利用下发的RAT窃取其联系人数据，利用公开API可以快速识别出大量数据中有价值的电话号码，剔除无效信息，便于继续发起社会工程学攻击。

功能测试工具这个工具疑似用于内部自查的安全工具，也可能是测试功能用的样本，功能可以查找注册表项SOFTWARE\\Microsoft\\Windows\\CurrentVersion下的所有启动项。

生成包括进程名称、本地地址、本地端口、外部地址、外部端口、连接状态、HOST、描述、文件大小、创建日期、父进程相关信息的列表。

获取所有的tcp upd连接

获得所有进程信息。

获取指定路径下所有exe信息。

删除指定路径下的注册表键值。

关闭机器上的计划任务。

枚举所有的计划任务。

枚举文件夹。

获取指定目录下文件列表。

Skype数据库操作工具通过反编译发现这个工具主要是操作Skype数据库，可以看出黄金鼠组织对于Telegram、Facebook、Skype等社交软件、联系人信息非常关注，善于利用这些工具与信息发动社会工程学攻击。

从数据库中删除指定账户。

批量获取账户信息。

在数据库中插入用户名、密码、描述、账号ID等信息。

njRAT控制端此次还捕获到了njRAT的控制端，这个类型的远控是中东地区常用的RAT，在黄金鼠组织之前的行动中也被发现了远控控制端内嵌的IP地址82正是APT-C-27已经被多次披露的常用C&C

njRAT被控端可执行文件的被控端被伪装成美女图片，诱使目标点击让木马运行，增加攻击目标成功率。

内部嵌入其常用C&C的 njRAT已被拍拍熊（APT-C-37）、黄金鼠（APT-C-27）等APT组织使用。其主要功能如下：键盘记录CMD命令上传文件

Android端攻击武器黄金鼠组织从被发现起就一直利用PC端和Android端同时攻击，由于Android系统、APP的普及与发展，带动了Android手机等智能终端用户量的持续攀升，从而导致黑客组织的攻击目标也逐渐转向移动端。

此次我们也捕获了新的RAT样本，通过对比此次样本和之前攻击的样本，可以发现移动端的样本在保持主体不变的情况下，一直处于更新状态，很多主要特征也没有改变新RAT特点分析当Mainactivity创建调用Oncreate函数，调用su命令获得系统权限，启动后基本会请求Root权限。

创建intent调用hmz类。为了保证服务一直是启动状态，屏幕解锁动作后启动对应服务。

伪装成Telegram的更新，其中的阿拉伯语文字翻译过来是所有更新已成功安装如果木马启动成功，则调用预设好的activity伪装成Telegram更新已成功安装，失败调用的activity显示操作失败，请确保谷歌更新激活的设置。

GPS位置信息

窃取通信录数据

获取系统状态、网络状态、搜集用户短信，启动线程，包括录音、控制指令。

控制码对比控制码旧版新版16心跳打点删除17connect删除18获取指定文件的基本信息19下载文件20上传文件21删除文件22按照云端指令复制文件23按照云端指令移动文件24按照云端指令重命名文件25

运行文件28按照云端指令创建目录29执行云端命令30空31获取并上传联系人信息32获取并上传短信空33获取并上传通话记录空34开始录音35停止并上传录音文件36拍照空37开始GPS定位38停止GPS定位并上传位置信息

39使用云端发来的ip/port空40向云端报告当前使用的ip/port41获取已安装应用的信息字符串加密算法

为了躲避杀毒软件的静态查杀，新RAT针对字符串加密处理，解密算法为逆序后把@替换为a。新RAT包结构相关包结构如下图所示：

端口号值加密实际端口为内部存储的端口号加100，与之前的方式相同。

新字符串特征在APK内部可以看到一直沿用的Raddex字符串。

在之前黄金鼠使用的攻击行动中，文档作者是Raddex，这个字符串也一直作为APK中的特征存在进程守护技术APK对攻击目标移动端的RAT进程守护，确保RAT一直处于启动状态，不被关闭Mainactivity创建后判断以下两个路径文件是否存在。

创建启动线程函数，判断android-updtt-20206x64-ttlog.txt文件是否存在，弹出对话框迷惑用户的信息被端对端加密保护。

接下来通过安装包关系器判断com.GttmaphhhllbtDCC262x64tg26.release.updt 的APK是否安装成功。

在APK被重新唤醒时，重复检查，对恶意APK进行进程守护。

总结中东是人类文明最早出现的地方，从两河文明开始到现代，因为宗教、历史原因纷争不断，也因为石油等稀缺资源被列强介入瓜分，这些都深刻影响着中东各国的政治、经济，也让各国之间的关系频频陷入僵局混乱的局势往往代表着各国之间经济、军事的较量，现代武器时代伴随着武器威力的进一步提升，军事暴力手段使用的越来越少，网络攻击手段日益受到各国的重视，通过网络攻击活动占领情报先机，维护国家安全也显示越发重要，各国越发重视APT攻击。

APT攻击大多数针对个人电脑、办公机器，因为在当今社会，电脑PC还是人们主要的办公设备， APT攻防人员都在上面投入大量精力，攻击方式多样化，攻击手段迭代也越来越快与此同时，智能手机已经成为人们日常使用工具，手机中包含有大量个人资料、机密信息，这些都使得对移动端进行攻击有利可图，因此也将有更多的移动端攻击伴随着对有价值APT目标的攻击发生。

附录 IOCPCf3d58ea7dc9095e4c4b849dc281040c4db26fd01e27f6b8b467c01fe71a52821a5214e71d07253c85797237e39cf2daa

71bdbd173426fd45569273c3c2bd5c8c234fb329d76b2cf286c524dcd09e82e55526018cd9c0004089f3e38938d51592f0d5821334b323b32052fcf67c024e51

91f795c4b8accf3337a15883e55d85c30a53d3b9a933f28714a27c165d29dd96533b9aa7c6aca924afb506c62b4e7b7cfb8b6586522a3ee6286241ca262a9d80

1ab4e81d707a8e114766f6c860fb21549bb330d4e8f00390a08b484c948e4648b5950560ca490a9968c198bdff4d75aac1d26ed8bd4f8de33ce542cd3344425e

c164d23615586f43ebb62842e60cfdeab358cde3b79ada80b86aca11eaeb4b6674f60170082dad5f66fb9ba3f928ce936c20baec334268230b7d8b0aee27f5e6

4e0d52b598a3cf002e89a1c2d1a8c3222edd95900d6c8fd789d912af0e009ea2e89d4fea5141ccd00bb0cb9a77c1921fcde857032e2b4a35bb2e5a0567cf05a1

Android14d9cea1080b4ef3e41329d7fb84f70b57C504B8E8C3AFC1BCBF2BD023C2C6CF4a530c949efbe3a1c99a48c51a641f55

9C4CB389E8EF10B78B64DF982BC0A0325d45ce9395a95f1b76ae8e40a9ef026214d9cea1080b4ef3e41329d7fb84f70b

团队介绍

TEAM INTRODUCTION360高级威胁研究院360高级威胁研究院是360政企安全集团的核心能力支持部门，由360资深安全专家组成，专注于高级威胁的发现、防御、处置和研究，曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击，独家披露多个国家级APT组织的高级行动，赢得业内外的广泛认可，为360保障国家网络安全提供有力支撑。