击在摩纳哥赌场线赌场时所使用的工具集分析

Windows服务几乎所有的工具都是，权限是必须的所以管理员。

得出结论研究人员，zarus组织相关的这些格式字符是与La。

k恶意软件含有相同的功能虽然所有的KillDis，似性和相关性并不强但不同样本的代码相。

织的工具集在每次攻击中都会重新编译这起攻击事件说明Lazarus组。

些数据基于这，O变种和目标网络中的其他Lazarus恶意软件加上检测到的Win32/KillDisk.NB，意软件与Lazarus组织有关研究人员相信KillDisk恶。

perflog.evt含有一个要注入文件%WINDOWS%\Temp\，的二进制文件的路径执行和写入注册表。

s恶意软件的典型特征这都是Lazaru。

Lazarus组织也是常见的然而用protectors在，h和Mexican攻击事件中在2017年2月的Polis，a Protector他们就使用了Enigm，ct的老一点的版本一种VMProte。

网络犯罪组织不像其他的，的任何代码都没有泄露Lazarus工具。

z会接受一个参数Mimikat，存储输出的文件也就是文件名来。

的Windows凭证的哈希值输出的文件含有当前登录用户。

织和其他网络犯罪分子常用的工具Mimikatz也是APT组。

使用的工具集很广泛Lazarus组织，有一些子组织研究人员发现。

务（中止或重新安装服务）和文件（drop/remove）一起工作该工具的作用是与其他进程（通过PID或者名字注入和杀死进程）、服摩纳哥赌场。

中动态解析必须的DLL名最初的一项执行步骤包括栈？

台主机中检测到了该恶意软件研究人员在企业超过100。

殊的样本中在这个特，可见的是明文；一些样本中在过去的，堆栈上进行base64编码研究人员是以字符为单位在摩纳哥赌场，解析的加密或。

us的特征就是后门另一个Lazar，特定的端口它会监听，会被防火墙拦截而该端口也不。

线赌场的案例中在美国中部在，32/KillDisk.NBO的变种研究人员在其网络中检测到两个Win。

软件与Lazarus组织相关研究人员有理由相信这些恶意，2/NukeSped和Win64/NukeSpedESET检测到的Lazarus恶意软件有Win3。

系统中创建一个当前未登录的用户的进程的一个配置应用Win64/NukeSped.AB是在当前受害者。

络的服务器和终端上检测到的恶意工具本节会描述一些在美国中部在线赌场网。

rus组织使用的工具集本文分析一些Laza，lDisk包括Kil。

时同，100台终端和服务器被感染恶意软件研究人员发现该攻击中企业网络有超过，做了很多的准备工作说明攻击者在攻击前。拉马拉赌场洛美赌场

创建了很多文件在文件系统中，NDOWS%\Temp\p中监听的端口储存在文件%WI。

14年攻击了索尼影视娱乐公司的服务器Lazarus组织如此出名是在于20，的许多机密数据泄露了该公司。

有信服力的线索这可能不是一个击在摩纳哥赌场线赌场时所使用的工具集分析，件样本的格式字符串时发现但是在ESET检查恶意软，的样本中会有这样的结果只有Lazarus组织。

些共同的特征样本中有一，PE编译时间戳分别是同样的，eader链接数据相同的Rich H，资源版本和部分的！

名所有检测到的有擦除功能的恶意软件KillDisk是ESET用来命，t单元造成破坏比如对boo摩纳哥赌场，系统文件等覆写和删除。

7年底201，该组织仍然活跃研究人员发现，具来攻击一些目标应用一些恶意工，息的恶意软件KillDisk这些工具包括能够擦除磁盘信摩纳哥赌场。

和Mexican攻击中的session hijacker相关的随后的动态分析确认了被黑的在线赌场网络中的文件是与Polish。

是很复杂的攻击本身，多的步骤含有许，受保护的工具以及数十个摩纳哥赌场。

tch的简单命令行工具这是一个接收许多swi。

tz相同目录的 ~Temp1212.tmp文件如果没有接收到参数默认会输出到与Mimika。

护器VMProtect保护的其中一个变种是由商业PE保，解压变难这会让摩纳哥赌场。泄漏的licence但是可能会使用网络上。

d.W是系统中安装的一项服务Win64/NukeSpe，置的应用是用于配。

源工具Mimikatz攻击者还使用了一个开摩纳哥赌场，indows凭证的该工具是用来窃取W。

恶意释放器和加载器下载并安装在受害者系统中上面提到的大多数工具都会在攻击的第一阶段由。

些工具集是来自GitHubLazarus组织使用的一，自商业化软件其他一些来。

的合法PREVHOST.EXE文件中窃取出来时当PE时间戳和资源从Windows 7SP1，链接数据的其中是没有，udio 2008(9.0)编译和链接的原来的微软文件是通过Visual St。

isk主要的原因有两个攻击者使用KillD，后覆盖自己的足迹一是在监听活动之，于攻击活动二是直接用。

In这样的远程访问工具来远程控制受害者设备攻击者还是用Radmin 3和LogMe摩纳哥赌场。

样地同，I的步骤名称也是动态构建的上面Windows AP。

与参数相关的具体的功能是。