木马
DanaBot木马更新C2通信
匿名用户 2019-02-19 17:48:45 342人浏览

DanaBot是一款快速发展和模块化的木马,自出现以来已经经过了多次修改,最新版本的木马使用了全新的C2通信协议。2019年1月发现的DanaBot变种中的C2协议对C2通信加入了多层加密。

除了通信协议的变化,DanaBot的架构和攻击活动ID也发生了改变。

DanaBot

自2018年5月出现以来,DanaBot木马就非常活跃,先后出现在攻击澳大利亚、波兰、意大利、德国、奥地利、乌克兰以及美国的垃圾邮件活动中。在针对欧洲的攻击活动中研究人员发现木马扩展了新插件和垃圾邮件发送功能来增加其功能。

2019年1月25日,研究人员发现一个DanaBot相关的可执行文件。进一步检查和分析发现,这些二进制文件事实上是DanaBot的变种,但使用的C2通信协议与之前的变种有所不同。从2019年1月26日起,DanaBot运营者已经不再用旧的C2协议来构建二进制文件。

截止目前,新变种一共以两种场景进行传播:

· 以更新的方式传递给现有DanaBot的受害者;

· 通过波兰的垃圾邮件攻击活动。

威胁指标(IOC)
ip地址(6) 威胁情报数目 开放端口 所属域名 相关样本 微步标签 < 1/1 >
AP_CERT 2019-02-22 12:03:01 回复
Got more here
art.sample.smartgalaxy.org
186.177.30.150
186.87.135.97
193.107.99.167
195.222.40.54
196.20.111.10
197.255.246.6
46.47.98.128
5.56.73.146
89.190.74.198
89.44.244.88
au.big.goodtimenews.org
corp.invest.preferredweb.org
143.208.165.41
195.228.41.2
213.173.71.164
37.104.151.196
37.143.160.70
5.56.73.146
62.73.70.146
84.224.42.226
89.45.19.18
95.104.121.111
匿名用户 2019-02-20 08:26:55 回复
wt?