threatbook

示例模板

远控情报 应急响应情报 黑客团伙情报

以下为该情报需要填写的内容示例,提交奖励计划相关情报过程中有任何问题,可参照以下示例进行填写。

标题示例

【建议:标题当中建议使用关键字,能简述当前情报特性】

利用WinRAR漏洞盗取比特币的远控情报

详情示例

【建议:该部分为重要加分项,请描述清楚当前情报的详细情况、情报来源、样本分析等内容】

(1)详细说明

近日我捕获到一个利用Winrar漏洞(CVE-2018-20250)传播AsyncRAT远控木马的最新样本。样本文件名为tutorialas.rar(教程),直接打开后展示“Perskaityk.txt”(立陶宛语说明文档)和“tutorial.mp3”(乱码文件)。如下图所示:

basic-intel-template basic-intel-template

(2)情报来源

捕获样本

(3)样本分析

I. 木马启动后会创建线程监测剪切板内存信息模式,一旦发现将bitcoin钱包地址信息就替换为:1LsLoq3MQku3CTu2dXrCFvFAyQYxY9kgbm。

basic-intel-template

II. 在自启动项目录(Software\\Microsoft\\Windows\\CurrentVersion\\Run\\)创建自启动子项,实现驻留。

basic-intel-template

III. 获取C&C(trytotrackme.pw:6603/6604)并建立通信连接,向C&C发送系统配置信息。

basic-intel-template

IV. 接收并执行C&C远程控制指令。

basic-intel-template
家族名称示例

【建议:根据实际情况,可以填写一至多个家族名称】

团伙名称示例

【建议:根据实际情况,可以填写一至多个团伙名称】

IOC示例

【建议:该部分是重要加分项。请描述清楚攻击者使用的C2、木马下载站、木马文件Hash、矿池等要素。】

IOC(IP/Domain/URL) IOC情报类型 上传样本
btc2agc.com C2 02ab781a1c197d58b8a72963d5ddf6f31776cda2fa48d02bfe611030572c14d0
btc2agc.com C2 1104bd34b6383a2f88a4fa21fd95814cf6a0831a896f95ffda9212c554685de0
trytotrackme.pw 矿池 1e88b884d5598dbdea440efd4102ef226ff6f55a7267c1d4ae62a697c09ca446
trytotrackme.pw 矿池 9a54905a14b496bfe8197308edcae68bf31f42f608fc42f3c7aef2f9ee7b8682
标签示例

【建议:根据实际情况,可以添加多个标签】

境外、远控、钓鱼、黑客、比特币

行业示例

【建议:根据实际情况,可以添加多个行业】

不限

微步在线重视每一位X情报社区伙伴的贡献,如果您在填写过程中遇到任何问题,欢迎通过邮箱(jiangli@threatbook.cn)向我们反馈!