新闻快讯
< >

戴尔称“中国黑客”盯上日本企业欲窃知识产权?

E安全10月16日讯 戴尔旗下安全公司Secureworks®事件响应与反威胁单位™(简称CTU™)的研究人员们对BRONZE BUTLER威胁组织(或称Tick)相关活动展开调查,Secureworks公司称BRONZE BUTLER的行动表明,其长期以来一直试图渗透日本企业以窃取知识产权及其它机密数据,相关入侵活动还证明,该恶意集团的入侵目标主要集中在关键基础设施、重工业 、制造业以及国际关系网络层面。CTU™研究人员怀疑该组织可能位于中国。

BRONZE BUTLER威胁组织瞄准日本各企业-E安全

CTU™研究人员将这一威胁组织的相关威胁情报划分为两大类:战略与战术。各企业高管可利用对相关持续威胁的战略评估结论判断如何有效降低所在企业内日常业务及关键资产所面临的风险。计算机网络维护人员则可利用此次事故响应调查与研究中收集到的战术信息作为指导,从而降低应对该威胁组织相关活动所投入的时间与精力。

CTU™研究的键点

  • 分析BRONZE BUTLER的行动、目标与能力,帮助CTU™研究人员评估该组织位于中国境内的可能性。

  • 该组织曾利用鱼叉式钓鱼攻击、战略性网络入侵(简称SWC)以及一项零日漏洞对目标系统实施入侵攻击。

  • 在自网络中提取目标数据后,BRONZE BUTLER通常会删除其活动所留下的相关证据。不过其仍会尽可能保留对所入侵环境的持续访问能力,定期重新访问目标站点,借以发现新的数据窃取机会。

  • 该威胁组织成员似乎有能力开发并部署其专有恶意软件工具。该组织的命令与控制(C&C)协议经过加密,因此给网络维护人员与事件响应人员带来了一定挑战。

CTU™研究发现的战略性威胁情报

分析BRONZE BUTLER组织的指向、来源以及能力,将能够确定哪些企业可能因此面临风险。此类信息能够帮助各企业就相关威胁作出战略性防御决策。

黑客组织瞄准哪些内容?

CTU™分析结果表明,BRONZE BUTLER主要针对位于日本的企业机构。该威胁组织曾经以非法入侵与关键基础设施、重工业、制造业以及国际关系相关的组织机构的网络体系。Secureworks分析师观察到,BRONZE BUTLER曾提取以下几类数据内容:

  • 与技术与开发相关的知识产权

  • 产品规格

  • 敏感性业务与销售相关信息

  • 网络与系统配置文件

  • 邮件信息与会议记录

 对于知识产权、产品规格以及企业信息的关注表明,该威胁组织正在积极收集其认为可能对竞争性企业具有实际价值的信息。而多样的目标设置则证明,BRONZE BUTLER很可能由多个具备不同优先级考量的团队或者组织共同组成。

关于BRONZE BUTLER组织的归因

以下特性使得CTU™的研究人员们认定BRONZE BUTLER很可能位于中国:

  • 使用公开发布于某中国开发者网站上的T-SMB扫描工具

  • 在其xxmm后门的某一早期版本中,在安装服务中使用中文字符

  • BRONZE BUTLER的恶意软件 Daserf 后门工具与来自中国的NCPH黑客组织之间存在记录关联,另外在中国国内法定假日期间BRONZE BUTLER的活跃度水平有所下降

中国近年来经济迅猛发展,增长速度飞快。英国前内政部国务大臣麦克·贝茨勋爵表示,中国经济增长奇迹令世界叹服。

但仍有外媒认为,中国的网络间谍组织可能是受到中国雄心勃勃的经济增长目标的有力推动,高度关注竞争性经济体所掌握的知识产权与经济情报,且积极窃取可在国内实现竞争优势的信息。

然而,中国的基础设施年支出已经超过了美国和欧盟,拥有世界上最大的高速铁路网——截止2016 年里程已达到约2万公里,是欧洲已建或在建高速铁路总长度的两倍左右。此外,自2007年以来,中国机场的数量增加了62%,高速公路总长增加了157%,集装箱码头的数量增加了132%。而另一方面,《中国互联网经济白皮书:解读中国互联网特色》显示,中国已经成为全球互联网经济的先锋,并与美国一起成为驱动全球互联网发展的双引擎。

BRONZE BUTLER组织的网络能力

BRONZE BUTLER曾使用多种广泛公开(包括Mimikatz与gsecdump)以及专用型(Daserf与Datper)工具。其似乎拥有充足的资源以长时间不断开发并替换各类专用工具。该组织开发出可生成并利用加密 C&C 通信机制的远程访问工具及恶意软件,从而提升了检测与问题缓解工作的复杂程度。另外,其组织成员亦能够流利使用日语编写指向日本本土的钓鱼邮件,并可在日语环境中成功开展攻击。

CTU™分析结果表明,BRONZE BUTLER曾经以购买形式获取到其 C&C 基础设施当中一部分方案。其基础设施当中的相当一部分立足日本运行,这可能是为了避免国际通信安全机构的监督与审查。该组织会定期更改各已入侵网络的 C&C IP地址与域名,从而限制其基础设施被列入黑名单的可能性。另外,该组织还通过访问已入侵网站补充自身运营基础设施,BRONZE BUTLER可能曾经具备专用基础设施的信息获取能力。

该组织已经被证明有能力发现一款高人气日本企业工具中存在的严重零日漏洞,而后通过扫描及利用这项漏洞无差别破坏日本国内各面向互联网的企业系统。该组织似乎首先建立初步立足点,而后有选择地对目标实施进一步入侵。该组织会关注已入侵网络的变化,并主动尝试通过修改工具及入侵方法以回避网络维护人员的审查。在长达5年时间内,其始终成功潜伏在多套已入侵网络当中且始终未被察觉。

CTU™研究发现的战术性威胁情报

事件响应行动使CTU™研究人员们得以深入了解BRONZE BUTLER在入侵期间所使用的工具与具体策略。

攻击活动使用工具调查

CTU™研究人员们已经观察到BRONZE BUTLER利用以下独有的工具方案。图一所示为该威胁组织在2012年到2017年期间所使用的部分专属工具。

BRONZE BUTLER威胁组织瞄准日本各企业-E安全

图一:BRONZE BUTLER所使用恶意软件时间线。(来源:Secureworks)

  • Daser 这套后门具备远程shell功能,可用于执行命令、上传与下载数据、捕捉屏幕截图以及击键记录。其采用RC4加密与自定义Base64编码对HTTP流量进行混淆。CTU™研究人员们确定Daserf拥有两个版本,分别在Visual C与Delphi中编写而成。编译时间戳分析结果证明,Delphi版本属于Visual C版本的后继者。CTU™还通过分析发现,以下注册表项能够证明计算机已经受到Delphi版本Daserf的感染:

    Key: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
    Value: MMID = 

  • Datper — BRONZE BUTLER之所以创建这套Delphi编码RAT,可能是为了替代Daserf。Datper采用RC4加密配置以混淆HTTP流量。

  • xxmm (亦被称为Minzen) — 此RAT有可能属于Daserf的后继者,其通过一次性加密密钥实现AES加密HTTP通信机制。研究人员们发现,BRONZE BUTLER在其恶意活动中表现出对Datper与xxmm的使用偏好。CTU™研究人员还确定了xxmm的xxmm builder(详见图二),这表明该组织成员会根据目标定制xxmm恶意软件设置。

1508048643448012114.jpg

图二:xxmm builder当中的可定制设置。(图片来源:Secureworks)

  • xxmm下载器(亦被称为KVNDM) — 这款简单下载器的代码类似于主xxmm的有效载荷。

  • Gofarer — 这款下载器在其HTTP通信中使用“Mozilla/4.0+(compatible;+MSIE+8.0;+Windows+NT+6.1;+Trident/4.0;” User-Agent(详见图三)。

图三:Gofarer HTTP GET请求。(图片来源:Secureworks)

  • MSGet — 这款持久下载器利用机密传递点解析器(简称DDR)以下载并执行其它恶意有效载荷。MSGet通常从其中的硬编码URL处下载已编码二进制文件。在解码之后,MSGet会将该二进制文件保存为%TEMP%\ms

  • DGet — 这款简单下载器(详见图四)类似于wget Web服务器检索工具。

图四:DGet使用情况。(图片来源:Secureworks)

  • Screen Capture Tool — 这款工具能够捕捉受害者系统中的桌面图像(详见图五)。

图五:Screen Capture Tool使用情况。(图片来源:Secureworks)

  • RarStar — 这款定制化工具能够将RAR归档文件以POST数据的形式上传至特定URL处(详见图六)。RarStar会利用Base64与一套定制化XOR算法对POST数据进行编码。

1508048779257013631.jpg

图六:RarStar HTTP POST请求。(图片来源:Secureworks)

BRONZE BUTLER还曾经利用以下公开工具,但CTU™的研究人员们发现该组织对其中大部分工具作出了修改。通过分析,研究人员确定其中曾使用多种打包工具、对源代码进行功能调整并加以重新编译。

  • Mimikatz、Windows Credential Editor (简称WCE)、gsecdump 这3款工具能够从内存中获取密码。

  • T-SMB Scan — 这款SMB扫描工具最初发布于中国某程序共享网站(pudn.com)。BRONZE BUTLER删除了其中的辅助信息功能。

  • WinRAR — 这款工具能够在后续操作解压出其它工具,并对所提取数据进行压缩。

从黑客组织攻击过程可以得到哪些启发?

事件响应行动使得CTU™研究人员能够深入了解BRONZE BUTLER在入侵期间所采取的具体策略。

交付

BRONZE BUTLER利用鱼叉式钓鱼邮件与SWC入侵目标网络,且大多借助Flash。该组织曾经利用包含Flash动画附件的钓鱼邮件下载并执行Daserf恶意软件,亦利用Flash安全漏洞进行SWC攻击。

CTU™研究人员们观察到,BRONZE BUTLER利用各已入侵网站(通常位于日本及韩国)作为其攻击基础设施的组成部分。该组织也表现出了在攻击活动中入侵并利用大量网站的实际能力。由于在同一次攻击活动中能够使用大量 C&C 服务器与多条IP地址,因此该组织似乎也在购买服务器以攻击基础设施。BRONZE BUTLER曾经面向不同目标使用特定攻击基础设施,这证明其会对运营基础设施进行主动分配,从而尽可能降低自身活动被安全研究人员归因的风险。

漏洞利用

在对2016年的入侵事件进行调查时,Secureworks事件响应人员发现,BRONZE BUTLER曾利用SKYSEA Client View(一款日本高人气企业IT资产管理产品)中当时尚未得到修复的远程代码执行漏洞(CVE-2016-7836)。SKY集团于2016年12月21日正式公布此项安全漏洞,但受害者在SKYSEA Client View默认日志(Ctlcli.log)中的条目显示,至少自2016年6月以来,该黑客组织就已经开始利用这一漏洞。

1508048870521007085.jpg

图七:SKYSEA Client View日志条目显示出CVE-2016-7836漏洞利用情况。(图片来源:Secureworks)

在将便携式连接设备——例如LTE USB调制解调器——接入企业设备时,攻击者即有机会利用此项漏洞。事实上,差旅及远程协作的日本员工经常使用便携式连接设备以接入互联网及企业VPN。然而,其中部分设备会将互联网服务供应商的全局IP地址分配给接入的笔记本电脑。恶意攻击者能够利用这一漏洞来模拟管理控制台,同时破坏笔记本电脑中的SKYSEA代理以使其暴露在互联网之上。

BRONZE BUTLER会定期进行互联网扫描,旨在发现易受攻击的主机。CTU™研究人员们证实,一部分受到入侵的系统并没有遭遇进一步破坏或者横向移动。结果表明,该威胁组织可能会将恶意软件部署到所有已发现的易受攻击系统当中,而后验证目标系统与自身关注点之间的联系,最终仅针对特定目标执行进一步活动。

安装

恶意攻击者利用多种依赖于可执行文件、PowerShell脚本或者VBS/VBE脚本的定制化下载工具,包括Gofarer、MSGet以及xxmm下载器。这些下载器使用HTTP流量,以压缩与编码格式下载其它有效载荷(例如Daserf、Dapter或者xxmm),并通常会在文件解码之后执行下载完成的恶意软件。

CTU™研究人员识别出一款下载器程序中的代码,如图八所示。此代码会在该可执行文件末尾插入“0”字符以将该文件大小提升至50到100 MB,从而尝试逃避反病毒软件的检测。在对BRONZE BUTLER攻击进行分析时,CTU™研究人员们观察到这种进行主动体积提升的文件确实能够逃过多种反病毒工具的法眼。

1508048888491033944.jpg

图八:用于提升有效载荷文件大小的下载器恶意软件代码。(图片来源:Secureworks)

CTU™研究人员们还观察到,BRONZE BUTLER会在已入侵系统上将下载器源代码下载至一个文件当中(do.cs),而后将其编译为可执行文件(do.exe)。经过解密的代理日志显示,恶意攻击者确实在已入侵系统上编译定制化代码(详见图九)。

1508048907523047508.jpg

图九:解密代理日志显示,已入侵端点上曾进行定制化代码编译。(图片来源:Secureworks)

利用命令与控制(简称C&C)通信

Daserf、Datper以及xxmm通过HTTP、加密命令以及数据同 C&C 服务器进行通信,具体加密算法如表一所示。只要已入侵系统在代理定义的授权时间内进行通信,这些工具即可利用IE浏览器组件绕过代理身份验证服务器。

恶意软件

HTTP 方法                

加密算法

Daserf (Visual C)

POST

RC4

Daserf (Delphi)

GET (大型数据则使用POST)

RC4

Datper

GET (大型数据则使用POST)

RC4

xxmm

GET (大型数据则使用POST)

RC4
AES外加一次性加密密钥

表一:Daserf、Datper以及xxmm加密算法。

BRONZE BUTLER为每款工具配备特定的 C&C 服务器,同时会定期更改 C&C 服务器。该组织的 C&C 服务器中有很大一部分位于日本。代理日志(详见表二)中的特定URL模式能够揭露BRONZE BUTLER的具体活动。

恶意软件

URL模式                

用户-代理

Daserf

http://.gif
http://.asp
http://.php?id=&=                

Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; SV1)
Internet Explorer 多个版本

Datper

http://.php?<lowercase characters>=1
http://.php?=2                


           

xxmm

http://.php?t0=>&t1=&t2=&t3=&t6=
http://.php?id0=&id1=&id2=id3=&id6=
http://.php?idcard0=idcard1=

Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; SV1)

表二:与BRONZE BUTLER恶意活动相关的URL模式。

BRONZE BUTLER在这些工具当中利用远程访问能力,通常借用现有PC供应商的目录——例如C:\DELL以及C:\HP——作为入侵环境的工作目录。CTU研究人员们也已经发现,这些恶意攻击者亦会使用以下工作目录:

  • C:\Intel\

  • C:\Intel\Logs\

  • C:\Intel\ExtremeGraphics\CUI\

  • C:\PerfLogs\Admin\

凭证访问

BRONZE BUTLER利用Mimikatz以及WCE等凭证窃取工具从已入侵主机的内存当中获取验证信息。CTU研究人员对包括Mimikatz在内的多份xxmm样本进行分析,并发现其允许恶意攻击者直接立足xxmm执行Mimikatz命令(详见图十)。另外,xxmm还整合了一款UAC旁路工具,用于在窃取密码之前提升权限。

1508048964318015325.jpg

图十:xxmm中的Mimikatz命令。(图片来源:Secureworks)

CTU™分析结果显示,BRONZE BUTLER还创建了伪造的Kerberos Ticket Granting Ticket(简称TGT)与Ticket Granting Service(简称TGS)标签,亦分别被称为‘金票’与‘银票’,用以维持管理访问能力。图十一所示即为恶意攻击者创建“金票”的相关示例。

1508049050144077311.jpg

图十一:BRONZE BUTLER创建的伪造“金票”。(图片来源:Secureworks)

金票需要用户名,但域控制器不会验证其是否合法。CTU™研究人员检测到,BRONZE BUTLER攻击者曾使用过以下金票用户名:

  • bgtras

  • bgtrs

  • kkir

  • kisetr

  • netkin

  • orumls

  • wert

主机列举

攻击者们通常会使用内置的Windows ping与net命令进行网络与主机列举活动,从而最终同文件共享服务器建立联系(详见图十二)。BRONZE BUTLER还利用T-SMB Scan工具罗列当前可用SMB主机,并使用多种屏幕捕捉工具以获取其它相关信息。

1508049100522064992.jpg

图十二:BRONZE BUTLER的主机列举行为。(图片来源:Secureworks)

横向移动

在完成对一台主机的入侵后,恶意攻击者会进一步尝试在网络内移动以破坏更多接入系统。BRONZE BUTLER通常利用以下流程实现横向移动:

1. 使用“net use”与“copy”命令将来自已入侵主机的恶意文件(例如恶意软件)发送至同一网络上的其它目标系统处。

2. 使用“net time”命令检查目标系统上的本地时间。

3. 使用“at”或者“schtask”命令在数分钟内注册一项待执行的计划内任务。

4. 数分钟后,恶意文件即在目标系统上执行。

此恶意文件通常为批处理文件,其负责下载恶意软件,并在注册表中注册恶意软件以实现自动执行。图十三所示为使用at以执行计划内任务的zrun.bat执行文件(为批处理文件)。

图十三:计划内任务注册。(图片来源:Secureworks)

图十四所示为该批处理文件(zrun.bat)的执行流程,其添加新的注册表项以实现恶意软件的自动执行。

图十四:添加注册表项以自动执行恶意软件。(图片来源:Secureworks)

CTU研究人员们还观察到,BRONZE BUTLER在为恶意软件命名时会使用与当前文件共享服务器上已有文档文件相同的名称,这意味着用户可能会在毫不知情的前提下在其它系统上启动并安装该恶意软件(详见图十五)。

1508049290710069967.png

图十五:恶意软件使用与现有文档文件相同的名称。(图片来源:Secureworks)

文件提取

BRONZE BUTLER通常会为已入侵主机与文件共享服务器创建一份文件列表(类似于购物清单)。如果这份列表较为短小,则该威胁组织会直接进行文件提取。但如果列表内容较多,恶意攻击者则会采用以下流程:

1. 使用恶意软件将大量列举文件的清单上传至C&C服务器。

2. 选择需要窃取的特定文件,构建新的清单。

3. 使用下载器或者其它恶意软件将新清单发送至已入侵主机。

4. 使用归档软件将各文件整理为一个受密码保护的归档文件。

5. 使用上传器或者其它恶意软件将该归档文件上传至攻击者控制的服务器处。此上传器软件由该组织所专有,但Datper与xxmm当中同样包含上传功能。在数据提取完成时,上传器(或者Datper及xxmm)会立即使用del命令删除此RAR归档文件。

图十六所示为BRONZE BUTLER整理出新的文件清单,并将特定文件归档为RAR格式以供窃取。

1508049240483091638.jpg

图十六:整理一份新的文件清单并对目标文件进行归档,从而完成窃取。 (图片来源:Secureworks)

该组织会使用密码对RAR归档文件进行加密。CTU™研究人员们观察到,BRONZE BUTLER网络恶意活动当中曾经使用以下密码:

  • 1234qwer

  • 1234qwer!

  • 1234$%qwer

  • 1qazxsw2

  • 1qazxcde32ws

总结

BRONZE BUTLER对目标组织进行细化划分,且主要针对日本企业。其初始攻击载体包括发布邮件、SWC以及利用企业日常软件当中存在的安全漏洞。该组织能够攻克安全控制机制以提取知识产权,而受害者应在与其接触之前制定可靠的清理计划,从而防止其重新入侵企业网络。

CTU™研究人员们建议称,各类企业——特别是掌握着大量对BRONZE BUTLER而言具备重要价值的资产与知识产权的企业,应当采取以下安全措施:

  • 查看代理日志设置,确保其会记录诸如HTTP参数与用户-代理之类的信息,以供后续分析。利用同BRONZE BUTLER活动相关的URL模式搜索代理日志文件,从而及时发现可能存在的Web服务器扫描情况。

  • 使用高级端点威胁检测(简称AETD)解决方案以监控网络端点上的各类活动。安装后台监视工具(例如Sysmon)以详尽记录Windows事件信息,从而有效协助事件响应工作。

  • 及时采用漏洞补丁与系统更新。将SKYSEA Client View更新至最新版本。

  • 查看网络访问控制机制。具体来讲,检查在企业系统上利用便携式USB调制解调器实现的网络访问。另外,对高权限帐户(例如Active Directory管理员)执行严格的安全控制,从而防止未经授权的用户访问行为。

威胁指标

表三中的指标与BRONZE BUTLER恶意活动相关。这些URL可能包含恶意内容,因此在浏览器中打开此类内容之前,请慎重考虑相关风险。

    指标类型情景
    795327de450e7f1e371a019a3d43673b60df4b7bf91138afa9ddc3913384f913SHA256 hashMSGet downloader
    c043c28ea0d767055a8f8d4e94a9acdf62a81927b0ae63b8a9f16288f92cd093SHA256 hashMSGet downloader
    4d7ce20a8d5bc05b7d4b1e147174f486033805260db1edbbc2516fced7558bccSHA256 hashMSGet downloader
    1ca3b1b259681bca70956139d25a559ccd0b0c04d4f45f08fb954e569aabf9aeSHA256 hashMSGet downloader
    08e49c1d476aefb4c590cf135229d6da7981c7425e547d4f2877d79c1a1ab601SHA256 hashVBE downloader
    6a63cb7089480fa76b784ca7043e147332768bccc39b84249af11f05b0dde66fSHA256 hashVBE downloader
    026f5c37f0d633ab27b83082dd0e818edbd80c27f86ba12b5cf32b425edb92d0SHA256 hashVBE downloader
    21111136d523970e27833dd2db15d7c50803d8f6f4f377d4d9602ba9fbd355cdSHA256 hashDaserf (Visual C)
    15abe7b1355cd35375de6dde57608f6d3481755fdc9e71d2bfc7c7288db4cd92SHA256 hashDaserf (Visual C)
    2bdb88fa24cffba240b60416835189c76a9920b6c3f6e09c3c4b171c2f57031cSHA256 hashDaserf (Visual C)
    85544d2bcaf8e6ca32bbc0a9e9583c9db1dce837043f555a7ff66363d5858439SHA256 hashDaserf (Visual C)
    f8f31f73157bf049b318429c1d60ad7ff2851e62535d95cf8d121216b95c8602SHA256 hashDaserf (Visual C)
    b1690facbce9bcc66ebf18f138dbbc10c3662a2034c211e0c414e47c7e208b4aSHA256 hashDaserf (Visual C)
    e620c9d19d7d1f609e0bb08465e4c58db97fd0158fb286d938542fc1f03a2302SHA256 hashDaserf (Visual C)
    2dc24622c1e91642a21a64c0dd31cbe953e8f77bd3d6abcf2c4676c3b11bb162SHA256 hashDaserf (Visual C)
    a4afd9df1b4cc014c3a89d7b4a560fa3e368b02286c42841762714b23e68cc05SHA256 hashDaserf (Visual C)
    dab557bae0eb93475c2c2639f186fd717dd57d8d6354232838f44ba6b6a07172SHA256 hashDaserf (Visual C)
    db6a6a4f675cba87405c9c7b016713d3e65b052ffc6c8963764a3d3788f432faSHA256 hashDaserf (Visual C)
    4b8ca82e6f407792cfb51de881f06b86bd4b59f85746b29c3287aee0015b1683SHA256 hashDaserf (Visual C)
    db8b494de8d897976288c8ccee707ff7b7967fb48caef99d75687584191c2411SHA256 hashDaserf (Visual C)
    e2fd17445d81df89f7a9c1ff1c69c9b382215f597db5e4730f5c76557a6fd1f9SHA256 hashDaserf (Visual C)
    0a031665d05e82038d620facf9d4a86a89e78544f2f770f579c980dae2e252bfSHA256 hashDaserf (Visual C)
    fa9a3341649e798bbc340ce9b2fe69791fe733aa9e46da666ce13b8cf7ca8f4dSHA256 hashDaserf (Visual C)
    f06b440052bd2c2eb127c33c35a80c4eca34a06360d3ee1bb37348d6029dc955SHA256 hashDaserf (Visual C)
    2a39372dea901665ab9429d2f15b3f4fb10706423e177226539047ee1ac3e4a3SHA256 hashDaserf (Visual C)
    4e15392553ca8e7d06f9f592eb04cf6dbfed18c98c56afc0ccd132465b270e12SHA256 hashDaserf (Delphi)
    89a80ca92600af64eb9c32cab4e936c7d675cf815424d72438973e2d6788ef64SHA256 hashDaserf (Delphi)
    b1bd03cd12638f44d9ace271f65645e7f9b707f86e9bcf790e0e5a96b755556bSHA256 hashDaserf (Delphi)
    22e1965154bdb91dd281f0e86c8be96bf1f9a1e5fe93c60a1d30b79c0c0f0d43SHA256 hashDaserf (Delphi)
    b1fdc6dc330e78a66757b77cc67a0e9931b777cd7af9f839911eecb74c04420aSHA256 hashDaserf (Delphi)
    67e32df3a460f005e7aec83b903f6d47d5533ff3843a97d186ad02316dff9fa9SHA256 hashDaserf (Delphi)
    2c449b562dfce53cf98acaddf37286cfb2d1e9da1536511a08bbd24ed93624a6SHA256 hashDaserf (Delphi)
    236848e301d71cab6e17a0503fb268f25412838eccb5fb17e78580d2d0a3a31dSHA256 hashDaserf (Delphi)
    b0966e89eae36a309d89a0c15c8a07677f58130fdc76bc98c16968376ec80626SHA256 hashDaserf (Delphi)
    68e5013a8147e77e892dcd06687e5e815c3837fb83fbff16bac442c65b2f3e73SHA256 hashDaserf (Delphi)
    e2f174f8368b46054e6ec2feec00b878b63e331ba3628374d584b238a95fd770SHA256 hashDaserf (Delphi)
    7afb8082822bf3e55c6639ed2e272846c6be0e5c1fd40402b8b0f69e37402461SHA256 hashDaserf (Delphi)
    630aa710bb7080143498d7fafbb152bbfe581bf690d9bfad041e4e285f152de2SHA256 hashDaserf (Delphi)
    efa68fcbd455a72276062fb513b71547ea11fedf4db10a476cc6c9a2fa4f67f7SHA256 hashDatper
    90ac1fb148ded4f46949a5fea4cd8c65d4ea9585046d66459328a5866f8198b2SHA256 hashDatper
    331ac0965b50958db49b7794cc819b2945d7b5e5e919c185d83e997e205f107bSHA256 hashDatper
    12d9b4ec7f8ae42c67a6fd030efb027137dbe29e63f6f669eb932d0299fbe82fSHA256 hashDatper
    303b75a7c350d26116fe341d77105a33c8cb1da3dc82424c3eac401820e868ddSHA256 hashDatper
    340906b6b3a4149875dea37221843cb8b67c51eb4520b39956cb6761ef0a3c5dSHA256 hashDatper
    b3cc83978bbc4f5603e93ec8c687a7007a3f7dbfbae01bff0a30332b06ea44d9SHA256 hashDatper
    18e896a7547aacb33aa3941ab1b61659ed099c0f6fbb924068f81b4289b05f12SHA256 hashxxmm
    4d208c86c8331b7f1f6dd53f83af9ee4ec700a74792b419f663a3ce105d15d1cSHA256 hashxxmm
    28894a78bc00d6774d1242925787d35c5c2ae2563f5f7f1ff38dc0b441a15812SHA256 hashxxmm
    747041d73b3eb29dde5c9e31efdd5e675f16f182c23999ed5613be0e9be12351SHA256 hashxxmm
    15b4c1d29b41531b255e41d39d194a52bdc98a3b65a13771d8caf92372b324ceSHA256 hashxxmm
    ac501bb7e9e1bc57dd027d152f4a7c473f108e37023aae4bad64117241963b5cSHA256 hashxxmm
    7197de18bc5a4c854334ff979f3e4dafa16f43d7bf91edfe46f03e6cc88f7b73SHA256 hashxxmm
    fe06b99a0287e2b2d9f7faffbda3a4b328ecc05eab56a3e730cfc99de803b192SHA256 hashxxmm
    e94a7e835c657dd8a82dab5705db0ec279d1de97a3524f0e25e1e3d78f0561b8SHA256 hashxxmm
    09df0591a885b8d16767820c9eac51a5dd8099a4b17a46bffe38b315a6e29d0bSHA256 hashxxmm
    7333f4601379d5877ec1416e4d82654d312210d5bcf4d628b98207a737bdb654SHA256 hashxxmm
    425616f2958ba176662eb9bd66259fb38ca513b5831f0a07956b22839d915306SHA256 hashxxmm
    46eae3931334468246c728a7e0ab3bbfafe40c9f73f80bf0544b8aa649227d60SHA256 hashxxmm
    de18ebedc5b29d66244773dda80b22ecf2c453cdbeaa85149c4ff0e96bdc4478SHA256 hashxxmm downloader
    70ef2e2fa3ac2c44a34963aca5dfe79e2b4f51795181374cca63bbf789f8a7f0SHA256 hashxxmm downloader
    b11941e0510e02283e7732a72f853027ea9271a2d4dc87d736ae33275eab2806SHA256 hashxxmm downloader
    bd81521445639aaa5e3bcb5ece94f73feda3a91880a34a01f92639f8640251d6SHA256 hashDGet
    0fc1b4fdf0dc5373f98de8817da9380479606f775f5aa0b9b0e1a78d4b49e5f4SHA256 hashRarStar
    http://115.144.166.240/URLDaserf (Delphi) C2 server
    http://203.111.252.40/URLDaserf (Delphi) C2 server
    http://27.255.69.209/URLDaserf (Delphi) C2 server
    http://27.255.91.238/URLDaserf (Delphi) C2 server
    http://106.184.5.30/URLDaserf (Delphi) C2 server
    http://airsteel.co.jp/cgi-bin/search/02/06_cgi.phpURLDatper C2 server
    http://gigasolar.jp/images/blog/20131011news-3.phpURLDatper C2 server
    http://www.atnet-photo.com/japan/themes/default/themes.phpURLDatper C2 server
    http://www.primeob.com/include/mpage/store.phpURLDatper C2 server
    http://baby.ests.jp/Templates/themes.phpURLDatper C2 server
    http://www.kamomeza.net/coppermine/images/thumb_dom.phpURLxxmm C2 server
    http://noukankyo.org/images/about/soshikizu.phpURLxxmm C2 server
    http://jmta.co.jp/module/Template/Plugin/Math.phpURLxxmm C2 server
    http://i-frontierasia.com/shiryoku/link.phpURLxxmm C2 server
    http://leadoffnet.com/img/top/top_12.phpURLxxmm C2 server
    http://www.concierge.com.cn/public_html/wp-content/themes/comment.phpURLxxmm C2 server
    http://www.wco-kyousai.com/ex-engine/themes/xe_default/conf/info.phpURLxxmm C2 server
    http://angelbaby.jpn.cm/html/images/deleteComments.phpURLxxmm C2 server
    http://www.infomiracle.info/TwitterQuest/image/ser.datURLUsed by BRONZE BUTLER to host tools
    http://160.16.243.147/images/CUI.jpgURLUsed by BRONZE BUTLER to host tools
    http://160.16.243.147/images/ns.jpgURLUsed by BRONZE BUTLER to host tools
    http://oan.jp/photo/logo_new.jpgURLUsed by BRONZE BUTLER to host tools
    http://oan.jp/photo/logo_old.jpgURLUsed by BRONZE BUTLER to host tools
    http://s-city.net/sport/pic1612.jpgURLUsed by BRONZE BUTLER to host tools
    http://sha-sigma.com/led/aa.datURLUsed by BRONZE BUTLER to host tools
    http://www.s-city.net/images/beach6.jpgURLUsed by BRONZE BUTLER to host tools
    http://www.stylmartin.co.jp/bdflashinfo/ns12.jpgURLUsed by BRONZE BUTLER to host tools
    http://www.stylmartin.co.jp/bdflashinfo/pageicons/6.jpgURLUsed by BRONZE BUTLER to host tools
    http://www.slvcx.com/t.rarURLUsed by BRONZE BUTLER to host tools
    http://www.sinwa-jp.com/works/logo-unix.phpURLBRONZE BUTLER exfiltration point
    http://www.baiya.jp/2014dressnumber/images/logo-unix.phpURLBRONZE BUTLER exfiltration point


E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。