信安圈昨天上演一场反转戏,pdf后门事件

华盟原创文章投稿奖励计划

前些天XX恒公司出一套书,内容不评论好与不好,不卖只送,数据量有量,撩拨的信息安全圈各从业人员心痒难奈,很好理解,得不到的永远是最好的。


信安圈昨天上演一场反转戏,pdf后门事件

网络安全圈那有什么秘密,你只要将一个文件发在200人的群里面,用不了2小时,圈内三分之一的人就都拿到了。也有人找华盟君要书,我回复:你等最多一个月,会有扫描版的pdf。果然不出所料,前天,就有人发出来pdf版。

昨天在某大牛,朋友圈看到说有百盘网盘下载地址:

信安圈昨天上演一场反转戏,pdf后门事件

信安圈昨天上演一场反转戏,pdf后门事件

一共约1.2G,很多人都下载了,好戏刚开始。

过了大概10来分钟,大家都下载完了,打开看书之后,某大牛又发一条朋友圈。

信安圈昨天上演一场反转戏,pdf后门事件

给圈内的哥们吓的,都打开分析器,在分析是否有后门,是否中病毒?

信安圈昨天上演一场反转戏,pdf后门事件

真的,打开pdf,调用了shell32.dll

信安圈昨天上演一场反转戏,pdf后门事件

发现有对外连接ip

信安圈昨天上演一场反转戏,pdf后门事件

信安圈昨天上演一场反转戏,pdf后门事件

都说这有病毒,有木马,各种分析...


这回就嗨了。都集中分析几个问题,

1,用了什么木马

2,为什么还免杀?

3,谁干的?

1,用了什么木马?


群里各种分析,这个pdf绑的木马用的是:

Microsoft Windows PDF 远程代码执行漏洞(CVE-2017-8737)

信安圈昨天上演一场反转戏,pdf后门事件

各种找漏洞,发现都不是,结论有可能是0day

2,为什么还免杀?


免杀查不出来,可能是技术水平高

3,谁干的?


这就有意思,现在大型攻防演练要开始了,指定是红队,放出来的马。精准打击。去年他就放一个HVV工具包给蓝队,还发钓鱼邮件。没跑了。指定是。

八仙过海,各显神通,分析了2小时....

结果呢?没有木马,

信安圈昨天上演一场反转戏,pdf后门事件

哈哈,惊不惊喜,意不意外?

为什么会调用rundll32.exe,原因是


rundll32

介绍一下Rundll32.exe这个文件,功能就是以命令行的方式调用动态链接程序库。系统中还有一个Rundll64.exe文件,他的意思是"执行64位的DLL文件", 其命令行下的使用方法为:Rundll32.exe DLLname,Functionname Arguments,DLLname为需要执行的DLL文件名;Functionname为前边需要执行的DLL文件的具体引出函数;Arguments为引出函数的具体参数。

OpenAs_RunDLL

这是一个未公开的dll。其作用为打开文件打开方式的对话框。经常配置windows操作系统的同学应该对这个很熟悉

本地复现

信安圈昨天上演一场反转戏,pdf后门事件

为什么会外连接ip,是pdf软体连接或者是别的软件,不是pdf绑马的原因。我本地试着打开了,的确没有后门
信安圈昨天上演一场反转戏,pdf后门事件
昨天发的pdf没有后门,明天发的pdf就不一定了,小心反转再反转的戏。
上回cobaltstrike4.1 破解版,也是说有后门,听风就是雨。技术人员自己分析一下,以讹传讹,出来吓人是不对的。从这次事件看出来,网络安全从业人员,安全意识还是有的。还需要提高能力。
网络安全工具有木马很正常,一般用虚拟机打开。要分析软件是否有后门,很简单,这是基本功。
1,用杀病毒软件查查2,打开干净的虚拟机。3,开启抓包1小时看否有对外连接ip这三点最基本。如果你不具备检查木马的能力,你看到热门工具你过两天再看,让子弹飞一会,也许也是个好办法。
从这件事看出来,网络安全圈从业人员水平良莠不一,跟风的多,思考的少。很多蓝队成员如果中了木马,结果很严重,这话怎么说来着?赚着卖白菜的钱,担着卖白粉的责任。
此处应当附下载链接,但这书是有版权的。我们不能发出来,如果你不是为了满足好奇心,真心有需要可以联系华盟君。

华盟知识星球入口

本文原创,作者:七月的肥猫,其版权均为华盟网所有。如需转载,请注明出处:https://www.77169.net/html/265045.html

发表评论