Broadcom旗下的赛门铁克发现并警告用户：攻击者试图部署WastedLocker勒索软件，对美国公司进行了一系列攻击。这些攻击的最终目标是通过对受害者的大多数计算机和服务器进行加密来削弱受害者的IT基础架构，以要求获得数百万美元的赎金，目前至少有31个组织受到了攻击，这意味着攻击者已经破坏了目标组织的网络，并且正在为勒索软件攻击奠定基础。 是一种相对较新的定向勒索软件，在NCC Group发布之前就已被记录，而赛门铁克正在对受影响的网络进行扩展。WastedLocker被归因于臭名昭著的“Evil Corp”网络犯罪组织，Evil Corp曾与Dridex银行木马和BitPaymer勒索软件相关联，勒索金额高达数千万美元。两名涉嫌参与该组织的俄罗斯男子在美国对他们进行了公开起诉。 这些攻击始于一个名为SocGholish的基于javascript的恶意框架，该框架被追踪到超过150个受到威胁的网站伪装成软件进行更新。一旦攻击者进入了受害者的网络，他们就会使用Cobalt Strike恶意软件和一些非本土工具来盗取身份证件，升级特权，然后在网络中进行移动，以便在多台电脑上部署WastedLocker勒索软件。   … 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1248/     消息来源：symantec-enterprise-blogs，译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接  

今年4月中旬，相关威胁监控系统检测到借助“世界银行与冠状病毒大流行有关的新倡议”的恶意软件，扩展名为 EXE 或 RAR， 在这些文件中有著名的 Rovnix bootkit。虽然利用冠状病毒这一话题进行传播的事情已屡见不鲜，但其使用UAC旁路工具进行了更新，且被用来提供一个与众不同的装载程序的实例却很少见。 这份名为《关于世界银行与冠状病毒pandemic.exe有关的新举措》的文件，是一份自解压的报告，其中列出了easymule.exe和1211.doc。 该文件确实包含有关世界银行一项新计划的信息，并且在元数据中引用了与该组织有关的真实个人作为作者。   … 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1248/     消息来源：securelist，译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接  

谷歌的 Chrome Web Store 受到迄今为止规模最大的监视活动的打击。截止 2020 年 5 月，该活动通过下载超过 3200 万次的恶意扩展程序成功窃取了来自全球用户的数据。 Awake 安全威胁研究团队发布了一份研究报告指出，其发现了一个大规模的全球监视活动，该活动利用 Internet 域注册和浏览器功能的性质来监视和窃取来自多个地区和行业细分市场的用户的数据。研究表明，此犯罪活动是由单个 Internet 域注册商：CommuniGal Communication Ltd. (GalComm) 促进的。 并表示， 通过利用作为域名注册商的信任，GalComm 已启用了恶意活动，且该恶意活动已在检查的一百多个网络中被发现。此外，即使在网络安全方面进行了大量投资的复杂组织中，恶意活动也能够通过绕过多层安全控制措施而得以隐藏。 Awake 在报告中指出，通过 GalComm 注册的可访问域有 26,079 个，其中超过 15,000 个域为恶意或可疑。 仅在过去的三个月中，其就使用 GalComm 域收集了 111 个恶意或伪造的 Chrome 扩展程序，这些域用于攻击者的命令和控制基础结构和/或用作扩展程序的加载程序页面。这些扩展名可以截取屏幕截图、读取剪贴板、获取存储在 cookie 或参数中的凭据令牌，以及获取用户的击键（例如密码）等。 引诱安装恶意 Chrome 扩展程序的示例 截止 2020 年 5 月，这 111 个恶意扩展下载次数已达到 32,962,951 次。Awake 表示，该公司已与 Google 合作，着手从 Chrome 网上应用店中删除这些扩展程序。 针对此事，GalComm 负责人 Moshe Fogel 在与路透社的通信中则指出，“GalСomm 不参与任何恶意活动，可以说恰恰相反，我们与执法和安全机构合作，尽我们所能防止”。在 Awake Security 发表报告并列出所有可疑域名后， Moshe Fogel 也表示这些域名使用情况几乎都不活跃，并会继续调查其他域名。 有关报告的更多详细信息可查看：https://awakesecurity.com/blog/the-internets-new-arms-dealers-malicious-domain-registrars/   （稿源：cnBeta，封面源自网络。）

6月10日，我们发现了一个伪装成简历的恶意Word文档，它使用模板注入来删除一个Net Loader。这是我们认为是APT攻击的一个部分，在最后阶段，威胁者使用Cobalt Strike的C2特性下载最终的有效载荷并执行C2通信。 这次袭击因为它的躲避技巧显得特别聪明。如我们观察到在执行来自恶意Word宏的有效负载时存在故意延迟。此外，通过将shell代码隐藏在一个无害的 JavaScript中并在不触及磁盘的情况下加载它，APT可以进一步阻止安全检测。   … 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1248/     消息来源：malwarebyte，译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

去年年底，我们发现了针对欧洲和中东地区的航空航天和军事公司的攻击活动，该攻击在2019年9月至2019年12月非常活跃。通过对两家受影响的欧洲公司的深入调查，我们对其攻击活动进行了深入了解，发现了之前从未被记录的恶意软件。 本文将对攻击活动的具体情况进行分析，完整的分析报告可查看白皮书《运营感知：针对欧洲航空航天和军事公司的针对性攻击》。 基于名为Inception.dll的相关恶意软件样本，我们将这些攻击称为“操作感知”，发现这些攻击活动具有很高的针对性。 为了危及目标，攻击者以诱人的虚假工作机会为幌子。在取得信任后，开始部署了自定义的多级恶意软件以及修改过的开源工具。除此之外还采用“陆上生存”策略，滥用合法工具和操作系统功能，使用多种技术来避免检测（其中包括代码签名、定期对恶意软件进行重新编译以及冒充合法公司来进行诈骗）。 我们调查了解到该行动的主要目标是间谍活动。但是在调查的某个案例中发现攻击者试图通过商业电子邮件折衷攻击(BEC)将访问受害者电子邮件帐户的权限货币化。虽然我们没有找到有力的证据将攻击与已知的威胁行为者联系起来，但发现了一些可能与Lazarus集团有联系的线索（其中包括定位目标、开发环境和使用的技术分析）。   … 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1248/     消息来源：welivesecurity，译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

微软安全情报团队于近日曝光了黑客组织 CHIMBORAZO 的新动向，作为 Dudear 和信息窃取木马 GraceWire 的幕后黑手，其再次将目光瞄向了被各大网站用于真人检测的 CAPTCHA 图形验证码。与模糊、扭曲的数字或字母相比，上线十余年的图形验证码能够将许多别有用心者阻挡在外，然而 Chimborazo 却想到了一个更骚的操作。 微软安全情报团队指出，他们从今年 1 月开始的追踪分析发现，该组织有在要求用户完成 CAPTCHA 验证的站点上分发恶意的 Excel 文档。 这个电子表格文件中包含了宏操作，启用后便会在受害者机器上安装可窃取密码等敏感信息的 GraceWire 木马。 此前微软有在网络钓鱼邮件活动中发现 Chimborazo 采取的类似操作（在附件中分发恶意 Excel 文件），然后通过嵌入式的 Web 链接进行传播。 最近几周，该组织开始改变策略，将链接重定向到被破坏的合法站点、或在邮件中包含具有恶意 iframe 标签的 HTML 附件。 无论哪种方式，点击链接或附件都可能导致受害者下载恶意站点上的木马文件，但前提是忽悠人们完成 CAPTCHA 图形验证（通常是为了阻挡机器人）。 这个鬼点子意味着只有真人才会上当，安全研究机构使用的基于自动化分析的传统方案将更加难以检测到它们的不法行为。 微软安全情报小组曾在今年 1 月发现，Chimborazo 在利用 IP 追溯服务来跟踪下载恶意 Excel 文件的计算机的 IP 地址，以进一步逃避自动检测，那时也是微软第一次见到该组织利用此类站点重定向。 Malwarebytes 威胁情报主管 Jérôme Segura 补充道：在恶意软件攻击中使用图形验证码的方式极为罕见，但此前也并非没有先例。 可即便是简化或翻版的 CAPTCHA 方案，也都能达到忽悠真人来下载文件、同时阻止自动化分析的目的。     （稿源：cnBeta，封面源自网络。）

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/QBkjAGuGBIZ7yzDNEYhxOg   概述 “贪吃蛇”挖矿木马曾在2019年4月被腾讯安全团队发现，因其在感染服务器后即会清除其他挖矿木马独占服务器资源而得名。“贪吃蛇”挖矿木马团伙主要针对MS SQL服务进行爆破弱口令攻击，爆破成功后会进行提权攻击获得系统权限，然后植入门罗币挖矿木马以及大灰狼远控木马。 “贪吃蛇”挖矿木马新变种的攻击流程 该团伙在2019年也对木马进行过一次更新，但第二个版本中被其他团队植入了后门（黑吃黑也是传统套路）。腾讯安全团队本次捕获的“贪吃蛇”挖矿木马新版在攻击流程上与前面略有区别。首先病毒对提权工具进行更新，抛弃了2015及以前的提权漏洞，引入2019年新的提权漏洞，病毒爆破成功之后提权获得系统权限的概率得以大幅提升。 “贪吃蛇”新版本清理的竞品挖矿木马也比旧版更多, 病毒还会添加Windows防火墙规则阻止其他挖矿木马入侵。攻击流程上也有所简化，不再借用第三方大厂的白文件，而是直接劫持系统进程或服务进行攻击。 腾讯安全T-Sec终端安全管理系统及腾讯电脑管家均可查杀该病毒，腾讯安全专家建议企业网管尽快纠正MS SQL服务器存在的弱口令风险，避免黑客远程爆破成功。 详细分析 攻击团伙对MS SQL服务器爆破成功后，会直接下载提权模块攻击以获取系统最高权限。与第一版贪吃蛇不同的是，第一版提权完成后会从网络上下载后续功能模块，而新版中在提权模块中直接包含后续的功能模块，大部分内嵌在PE中。 新版内嵌PE会存放在数据段 而旧版本是内嵌在资源段中 流程开始后首先释放提权模块，罗列了一下新版贪吃蛇与旧版使用的提权工具区别，提权漏洞升级了。 旧版本： 新版本： 提权工作完成后，释放SQLA.exe文件，该文件内置6个PE文件，其中2个文件是密文形式存放，逐个分析其功能。 Rundllexe.Dll：这个dll有内嵌x64版本，会被注册为打印机程序 Dll启动rundllexe.Exe Rundllexe.exe启动后把大灰狼远控注入到svchost中 大灰狼模块被释放到C:\Windows\MpMgSvc.dll中 C2: down.361com.com 备份rundll代码到注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ODBC\Rundll 接着下载x64.exe，hxxp://124.160.126.238/1.exe，这个模块主要用来投递挖矿木马，入口处通过修改Windows防火墙规则，阻止其他挖矿木马入侵。 解密出active_desktop_render.dll释放到c:\windows\help\ active_desktop_render.dll会把自身注册为服务，服务名GraphicsPerf_Svcs active_desktop_render.dll内置一个PE文件，解密后得到DeskTop EXE.主要负责投递挖矿木马，首先下载hxxp://118.45.42.72/Update.txt，文件中描述了挖矿木马名称及大小。 还需要根据配置描述，清除其他竞品挖矿木马 “加固清理”之后下载挖矿木马hxxp://www.362com.com/32.exe，并设置挖矿启动项，挖矿木马使用的文件名和系统文件名一样，以便伪装。 TrustedInsteller.exe WmiApSvr.exe WUDFhosts.exe HelpSvc.exe 劫持这4个系统文件，提高存活几率： 矿池及钱包仍然异或加密存储在文件中 矿池：pool.usa-138.com:80 钱包：4B7yFmYw2qvEtWZDDnZVeY16HHpwTtuYBg6EMn5xdDbM3ggSEnQFDWDHH6cqdEYaPx4iQvAwLNu8NLc21QxDU84GGxZEY7S 清除其他挖矿木马也更加全面 IOCs MD5 3841eed7224b111b76b39fe032061ee7 a865ec970a4021f270359761d660547c 70e694d073c0440d9da37849b1a06321 4a72e30c0a582b082030adfd8345014f 645564cf1c80e047a6e90ac0f2d6a6b7 ce614abf6d6c1bbeefb887dea08c18a3 f03f640de2cb7929bbbafa3883d1b2a9 5d2e9716be941d7c77c05947390de736 3a1e14d9bbf7ac0967c18a24c4fd414b dc60a503fb8b36ab4c65cdfa5bd665a1 9450249ae964853a51d6b55cd55c373e f4f11dc6aa75d0f314eb698067882dd5 18936d7a1d489cb1db6ee9b48c6f1bd2 b660ad2c9793cd1259560bbbfbd89ce6 2ee0787a52aaca0207a73ce8048b0e55 URLs hxxp://www.362com.com/32.exe hxxp://www.362com.com/64.exe hxxp://118.45.42.72/Update.txt hxxp://118.45.42.72/22.exe hxxp://www.362com.com/Update.txt hxxp://124.160.126.238/1.exe hxxp://124.160.126.238/tq.exe hxxp://124.160.126.238/11.exe hxxp://124.160.126.238/Down.exe hxxp://124.160.126.238/MSSQL.exe Domain www.361com.com www.362com.com 22ssh.com IP 124.160.126.238 （ZoomEye搜索结果） 118.45.42.72 （ZoomEye搜索结果）

2014年一个名为Turla Group的恶意软件组织消息出现，爱沙尼亚外交情报局推断它源于俄罗斯，代表俄罗斯联邦安全局（FSB）进行运作，该组织核心恶意软件也被公开描述为第一个滥用第三方程序来禁用DSE的案例。在Windows Vista中引入了这种安全机制，以防止未签名的驱动程序加载到内核空间。Turla利用了签名的VirtualBox驱动程序——VBoxDrv.sysv1.6.2来停用DSE，然后对未签名的有效负载驱动程序进行加载。 然而，这个漏洞有一些混淆，它被称为CVE-2008-3431。Turla使用的漏洞实际上滥用了两个漏洞，其中只有一个在前面提到的CVE中被修复过。另一个漏洞与CVE-2008-3431一起用在第一个攻击版本中，第二个攻击版本大约在2014年引入了内核模式恶意软件，其只使用了未修补的漏洞，我们将在后面详细讨论。 2019年2月，Unit 42发现了尚未知晓的威胁因素（信息安全社区不知道），发现第二个未修补的漏洞不仅可以利用VirtualBox VBoxDrv.sys驱动程序 v1.6.2，还可以利用 v3.0.0以下的所有其他版本。此外我们研究发现这个未知的参与者利用VirtualBox驱动程序2.2.0版，在2017年攻击至少两个不同的俄罗斯组织。我们猜测这样做是因为驱动程序版本2.2.0并不易受攻击，因此很可能不会被安全公司发现。由于没有发现其他受害者，我们认为这是一个非常罕见的恶意软件，仅用于目标攻击。 操作者使用了一个之前未知的恶意软件家族，我们称之为AcidBox。由于该恶意软件的复杂性、稀有性以及它是一个更大的工具集的一部分这一事实，我们相信它被高级威胁参与者用于定向攻击。如果攻击者仍然活跃的话，这个恶意软件很可能今天仍在使用。但是，我们预计它在一定程度上被重写了。根据我们掌握的信息，我们认为除了使用过的漏洞之外，这个未知的威胁因素与Turla无关。   … 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1247/     消息来源：paloaltonetworks，译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Awake Security的研究人员表示，他们在谷歌的Chrome浏览器的扩展程序中发现了一个间谍软件，含有这个间谍软件的扩展程序已经被下载了3200万次。这一事件凸显出科技企业在浏览器安全方面的失败，而浏览器被广泛使用在电子邮件、支付以及其他敏感性功能中。 Alphabet旗下的谷歌表示，在上个月接到了研究人员的提醒之后，他们已经从Chrome Web Store中移除了超过70个存在此恶意软件的扩展程序。 谷歌发言人斯科特·维斯托弗（Scott Westover）表示：“当我们得到通知Web Store中存在违反了政策的扩展程序之后，我们立即采取了行动，并将此作为培训材料，从而提升我们的自动和手动分析效果。” Awake联合创始人兼首席科学家加里·戈隆布（Gary Golomb）表示，按照下载数量计算，这是Chrome商店中出现过的影响最为严重的恶意软件。 谷歌拒绝讨论新间谍软件与此前出现的恶意软件有何区别，也拒绝透露该软件的影响范围，以及谷歌为何没有主动监测并删除该软件，而此前他们曾承诺将密切留意产品安全。 现在还不清楚是谁散播了这个恶意软件。Awake表示，在将还有恶意软件的扩展程序上传到谷歌商店的时候，软件的开发者填写了虚假的联系信息。戈隆布称，这些扩展程序可以躲避反病毒企业或安全软件的扫描。 研究人员发现，如果有普通用户在家用电脑上使用带有恶意软件的浏览器，它会联系多个网站，然后传输用户信息。如果用户使用的是企业网络，由于企业网络存在安全服务，那么该恶意软件则不会传输敏感信息。 近些年来，欺骗性扩展程序一直存在，但是此前他们的危害程度并不高，只是强迫用户观看广告等等。然而现在，它们却变得越来越危险，甚至可以用来监测用户的位置和他们的活动。 很长时间以来，都有恶意软件开发者利用谷歌的Chrome Store散播恶意软件，2018年，研究发现每十个提交到Chrome Store的扩展程序中，就有一个存在恶意软件。随后，谷歌宣布他们将提升安全程度，增加人工审核员。 但是今年2月，独立研究者加米拉·凯亚（Jamila Kaya）和思科系统的Duo Security发现，Chrome浏览器出现了一个恶意插件，盗取了大约170万用户的数据。随后谷歌参与了调查，并且发现了500个欺诈性扩展程序。     （稿源：新浪科技，封面源自网络。）

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/1aQGlBxBwBOrdrW3B9l4tA   背景 腾讯安全威胁情报中心检测到有Agent Tesla商业木马变种正在通过钓鱼邮件传播。攻击者伪装成某国大型航运公司发送以货运单据为主题的钓鱼邮件，并在附件中加入由木马打包而成的压缩程序。 使用C#编译的木马外壳首先从资源文件中读取和加载Load程序PhotoDirector.dll，攻击者采用隐写技术，将木马执行程序隐藏在图片资源中，从图片资源中读取、解密得到Agent Tesla木马的exe可执行程序。 Agent Tesla为一款知名的商业窃密木马，木马执行后，会从资源中解密出现核心窃密程序，窃取中毒电脑的机密信息。包括：键盘记录，截屏，剪贴板记录，以及摄像头图像。还会从电脑上提取还原多种登录信息缓存，包括浏览器中保存的各网站登录帐号和密码，邮件客户端中保存的用户名密码，FTP工具、下载器中保存的密码等等。 窃取的数据通过Web Panel的方式回传至C&C服务器。一切完成之后，该木马会删除自身，清理痕迹。 腾讯安全专家建议用户小心处理不明电子邮件附件，腾讯安全旗下的系列产品均可检测、查杀Agent Tesla系列窃密木马。 样本分析 伪装成某国航运公司发送的以货运单据为主题的钓鱼邮件，附件名为“BL Draft Copy-shipping DocumentsEXCEL.XLS.xlsx.gz.zip”。 伪造的发件邮箱tassgroup.com属于TRANS ASIA GROUP公司，该公司是南亚某国一家集造船、航运、集装箱、物流等业务为一体的集团公司。 附件解压得到exe程序“BL Draft Copy-shipping DocumentsEXCEL.XLS.xlsx.gz.exe”，是木马外壳程序，采样C#编写。 外壳程序被命名为BlackJack。 Main函数进入Form1，完成初始化后调用BCAS类中BCAS()函数，代码被插入大量无效指令。 在无效指令之后调用AIJISAJIS()，进行资源文件的解密和加载。 BlackJack共有两个资源文件，一个是二进制文件资源“PhotoDirector_2”，另一个是图片文件资源“cxpjNoVVdqvwNYmThlfPxwKQGrxcLPY”。 首先将二进制文件作为PhotoDirector.dll加载到内存，该dll采样C#编写，主要功能是从母体的中获得图片资源，从图片中解密出数据，利用自定义的异或算法处理数据后得到Agent Tesla家族的exe文件，并在内存中加载执行。 获取图片中数据的代码为：首先遍历图片中的每个像素点，对每个像素点的RGB数据依次排列。 然后对读取到的数据利用自定义异或算法进行解密。 解密得到Agent Tesla木马ReZer0V2.exe，木马同样采样C#编写，其字符串经过混淆，仍然有两个资源文件，一个二进制文件“qfwH1”，一个XML文件XML。 拷贝自身到%Romaing%\XLwdDWHDKFdwB.exe目录下，并利用资源中的XML文件安装执行木马的计划任务Updates\XLwdDWHDKFdwB，在系统每次登陆时执行一次： 从“qfwH1”资源中解密出C++编译的核心窃密exe文件，解密算法和上述异或算法相同，然后加载该exe到内存执行。 窃密exe枚举注册表SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall获取系统安装的软件信息： 从注册表中读取FTP服务地址、用户名和密码信息： Software\Far\Plugins\FTP\Hosts Software\Far2\Plugins\FTP\Hosts Software\Far Manager\Plugins\FTP\Hosts Software\Far\SavedDialogHistory\FTPHost Software\Far2\SavedDialogHistory\FTPHost Software\Far Manager\SavedDialogHistory\FTPHost 从XML文件sitemanager.xml、filezilla.xml、recentservers.xml中获取FTP服务地址、用户名和密码信息 读取wiseftpsrvs.ini、wiseftp.ini、32BitFtp.ini、ftpsite.ini等INI文件中保存的FTP账号密码信息 从注册表中获取ExpanDrive网盘的账号密码信息： 获取Windows Live Mail、Outlook、RimArts、Pocomail、IncrediMail 、The Bat!等邮箱客户端保存的账号密码信息： 从Chrome等浏览器中获取用户账号密码信息： 将敏感信息加密后发送至http[:]//chelitos.com.ve/folders/folder/bin/trash/panel/gate.php 窃取任务完成后，创建bat脚本执行自删除： 木马生成器 1、工具简介 攻击者生成木马时使用的自动化工具名为AgentTesla，是一个功能比较完整的恶意木马生成器，生成器作者已经开始通过出售工具帐号牟利。 2、使用.NET作为开发语言 .NET语言开发的程序中包含经过编译的字节码，在.NET环境中进行解释和执行，这就给样本的调试和分析带来了一定的困难。同时，.NET库中拥有丰富的工具类，在迅速搭建可用的程序方面具有一定的优势。 3、支持多类信息窃取行为 工具可以自定义生成的木马窃取的信息，包括键盘记录，截屏，剪贴板记录，以及摄像头图像。工具使用者还可以自定义记录的抓取间隔时间。 同时，工具还可以从电脑上提取还原多种登录信息缓存，包括浏览器中保存的网站帐号密码，邮件客户端中保存的密码，FTP工具、下载器中保存的密码等。 4、支持多种回传方式 工具可以自定义木马将窃取到的信息回传给木马传播者的方式，包括网络接口方式、邮件方式以及FTP方式。 在FTP方式下，工具使用者可以指定上传信息时用到的ftp地址、用户名和密码。 在邮件方式下，工具使用者可以指定邮箱服务器地址、用户名和密码。 如果使用者采用网络接口方式，则需要从工具官网下载一套完整的管理页面，并部署在自己的网站上。本次攻击中采用这种方式，使用者将chelitos.com.ve作为C&C服务器，生成的木马运行后会连接该服务器并接收相应的指令。 5、木马与服务器之间传递的指令包括： IOCs MD5 a2bf53ed2269b816d8c28e469e8c2603 adfd08c1928106a23c6ef0464885dfb9 URL http[:]//chelitos.com.ve/folders/folder/bin/trash/panel/gate.php http[:]//chelitos.com.ve/shit.exe 参考链接： https://www.freebuf.com/column/149525.html