来自印度的修改版zyklon和插件-cisco.pdfVIP

2 0 1 7 年 5 月 2 3 日，星期二 来自印度的修改版Zyklon 和插件 简介 Talos 每天检查的大量恶意邮件通常包括活跃的垃圾邮件攻击活动，这些攻击活动来自各种 勒索软件系列、网络钓鱼攻击活动，以及银行木马和僵尸程序等常见的可疑恶意软件系列。 然而，分析量级较小的攻击活动通常更有意义，因为它们可能包含更值得关注的恶意软件。 几周前，我对这样一种攻击活动产生了兴趣，它会循环发送少量邮件。第一封邮件的提交地 点是中东，声称来自一家土耳其贸易公司，这可能进一步说明此类攻击活跃的地理区域。分 析恶意软件通常像玩拼图游戏，必须一块一块地去拼才能得到最终的图像。在本案例中，分 析攻击活动花费的时间超过了我的最初计划。该攻击活动包含许多感染链阶段，在到达最终 的有效负载级别之前需要对每个阶段进行拆解。此外，每个阶段使用不同的开发平台，并以 不同的方式进行混淆处理。不过，我们需要从头开始。 第 1 阶段- 邮件 邮件包含两个附件。第一个是Office Open XML 文件格式的Word 文档，第二个是Zip 文件 PurchaseOrders.zip，其中包含一个可执行文件PurchaseOrders.exe。相对而言，这是一种 不寻常的邮件攻击活动策略，因为更为常见的情形是恶意邮件包含一个附件，而不是两个或 两个以上。攻击者似乎想要确保收件人