伊朗黑客利用FalseFont向全球国防工业基地发起攻击 (伊朗黑客利用什么武器)

近日，微软称伊朗网络间谍组织 APT33 正在利用 FalseFont 后门恶意软件攻击全球国防工业基地。

据观察，伊朗民族国家黑客Peach Sandstorm 曾试图向国防工业基地（DIB）部门的组织员工发送名为 FalseFont 的开发后门。此类攻击针对的目标包括 10 万多家参与研究和开发军事武器系统、子系统和组件的国防公司和分包商。

该黑客组织又名 Peach Sandstorm\HOLMIUM \Refined Kitten，自 2013 年起就活动频繁。他们的攻击目标横跨美国、沙特阿拉伯和韩国的多个行业领域，还包括政府、国防、研究、金融和工程等垂直行业。

此次微软公布的FalseFont是该组织最新行动中部署的自定义后门，它为操作员提供了远程访问被入侵系统、执行文件和向其指挥控制（C2） 服务器 传输文件的功能。

微软方面表示，这个后门是在今年 11 月初首次在野外被发现。

Redmond表示：FalseFont的相关威胁行动与微软在过去一年中观察到的Peach Sandstorm活动一致，这表明Peach Sandstorm的技术在持续精进。他建议各组织机构重置密码、撤销会话cookie，并使用多因素身份验证（MFA）确保账户和RDP或Windows虚拟桌面端点的安全，从而减少 APT33 黑客的攻击面。

遭受攻击的国防承包商

今年 9 月，微软曾发布警告声明称自 2 月以来，APT33 威胁组织针对全球数以千计的组织（包括国防部门）发起了大范围的密码喷射攻击。

据微软威胁情报团队称：2023 年 2 月至 7 月间，Peach Sandstorm 发起了一波密码喷射攻击，试图对数千个环境进行身份验证。

在2023年一整年，Peach Sandstorm一直展现出对美国和其他国家的卫星、国防部门组织以及制药部门的兴趣。一旦发起攻击极易导致国防、卫星和制药领域的数据泄露。

微软威胁情报中心（MSTIC）的研究人员还发现了另一个与伊朗有关的黑客组织，名为DEV-0343。微软2012年10月的一份报告显示，该组织两年前也曾攻击过美国和以色列的国防科技公司。

病毒自运行的原理

只有2种方式。 利用Windows文件夹外观样式配置脚本来启动运行其中的病毒文件。 还有一种就是解压时，将部分文件脚本写死，强制解压到自启动文件夹里来运行。 利用Windows文件夹外观样式配置脚本来加载，在用户解压完成后，双击进入文件夹时，病毒被触发加载进入内存进程。

怎样发木马病毒? 说给我听我给他加分.

小知识：木马病毒的通用解法“木马”全称是“特洛伊木马(Trojan Horse)”，原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。 在Internet上，“特洛伊木马”指一些程序设计人员在其可从网络上下载(Download)的应用程序或游戏中，包含了可以控制用户的计算机系统的程序，可能造成用户的系统被破坏甚至瘫痪。 由于很多新手对安全问题了解不多，所以并不知道自己的计算机中了“木马”该怎么样清除。 虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”，但它们并不能防范新出现的“木马”程序，因此最关键的还是要知道“木马”的工作原理，这样就会很容易发现“木马”。 相信你看了这篇文章之后，就会成为一名查杀“木马”的高手了。 “木马”程序会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏自己，这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。 在任务管理器中隐形：将程序设为“系统服务”可以很轻松地伪装自己。 当然它也会悄无声息地启动，你当然不会指望用户每次启动后点击“木马”图标来运行服务端，:)，“木马”会在每次用户启动时自动装载服务端，Windows系统启动时自动加载应用程序的方法，“木马”都会用上，如：启动组、、、注册表等等都是“木马”藏身的好地方。 下面具体谈谈“木马”是怎样自动加载的。 在文件中，在[WINDOWS]下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。 一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。 当然你也得看清楚，因为好多“木马”，如“AOL Trojan木马”，它把自身伪装成文件，如果不注意可能不会发现它不是真正的系统启动文件。 在文件中，在[BOOT]下面有个“shell=文件名”。 正确的文件名应该是“”，如果不是“”，而是“shell= 程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。 在注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至：“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记：有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“Acid Battery v1.0木马”，它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer 键值改为Explorer=“C:\WINDOWS\”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。 当然在注册表中还有很多地方都可以隐藏“木马”程序，如：“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能，最好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索即可。 知道了“木马”的工作原理，查杀“木马”就变得很容易，如果发现有“木马”存在，最安全也是最有效的方法就是马上将计算机与网络断开，防止黑客通过网络对你进行攻击。 然后编辑文件，将[WINDOWS]下面，“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”；编辑文件，将[BOOT]下面的“shell=‘木马’文件”，更改为：“shell=”；在注册表中，用regedit对注册表进行编辑，先在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索并替换掉“木马”程序，有时候还需注意的是：有的“木马”程序并不是直接将“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的“木马”键值删除就行了，因为有的“木马”如：BladeRunner“木马”，如果你删除它，“木马”会立即自动加上，你需要的是记下“木马”的名字与目录，然后退回到MS-DOS下，找到此“木马”文件并删除掉。 重新启动计算机，然后再到注册表中将所有“木马”文件的键值删除。 至此，我们就大功告成了。

我的电脑被被人控制了！

是被人远程控制了吧！特洛伊木马（Trojan horse） 古希腊传说，特洛伊王子帕里斯访问希腊，诱走了王后海伦，希腊人因此远征特洛伊。 围攻9年后，到第10年，希腊将领奥德修斯献了一计，就是把一批勇士埋伏在一匹巨大的木马腹内，放在城外后，佯作退兵。 特洛伊人以为敌兵已退，就把木马作为战利品搬入城中。 到了夜间，埋伏在木马中的勇士跳出来，打开了城门，希腊将士一拥而入攻下了城池。 后来，人们在写文章时就常用“特洛伊木马”这一典故，用来比喻在敌方营垒里埋下伏兵里应外合的活动 特洛伊木马没有复制能力，它的特点是伪装成一个实用工具或者一个可爱的游戏，这会诱使用户将其安装在PC或者服务器上。 “特洛伊木马”（trojan horse）简称“木马”，据说这个名称来源于希腊神话《木马屠城记》。 古希腊有大军围攻特洛伊城，久久无法攻下。 于是有人献计制造一只高二丈的大木马，假装作战马神，让士兵藏匿于巨大的木马中，大部队假装撤退而将木马摈弃于特洛伊城下。 城中得知解围的消息后，遂将“木马”作为奇异的战利品拖入城内，全城饮酒狂欢。 到午夜时分，全城军民尽入梦乡，匿于木马中的将士开秘门游绳而下，开启城门及四处纵火，城外伏兵涌入，部队里应外合，焚屠特洛伊城。 后世称这只大木马为“特洛伊木马”。 如今黑客程序借用其名，有“一经潜入，后患无穷”之意。 完整的木马程序一般由两个部份组成：一个是服务器程序，一个是控制器程序。 “中了木马”就是指安装了木马的服务器程序，若你的电脑被安装了服务器程序，则拥有控制器程序的人就可以通过网络控制你的电脑、为所欲为，这时你电脑上的各种文件、程序，以及在你电脑上使用的帐号、密码就无安全可言了。 木马程序不能算是一种病毒，但越来越多的新版的杀毒软件，已开始可以查杀一些木马了，所以也有不少人称木马程序为黑客病毒。 详解木马原理 介绍特洛伊木马程序的原理、特征以及中了木马后系统出现的情况…… QUOTE: 特洛伊木马是如何启动的 作为一个优秀的木马，自启动功能是必不可少的，这样可以保证木马不会因为你的一次关机操作而彻底失去作用。 正因为该项技术如此重要，所以，很多编程人员都在不停地研究和探索新的自启动技术，并且时常有新的发现。 一个典型的例子就是把木马加入到用户经常执行的程序 (例如)中，用户执行该程序时，则木马自动发生作用。 当然，更加普遍的方法是通过修改Windows系统文件和注册表达到目的，现经常用的方法主要有以下几种: 1.在中启动 在的[windows]字段中有启动命令load＝和run＝，在一般情况下 ＝后面是空白的，如果有后跟程序，比方说是这个样子： run=c:\windows\ load=c:\windows\ 要小心了，这个很可能是木马哦。 2.在中启动 位于Windows的安装目录下，其[boot]字段的shell=是木马喜欢的隐藏加载之所，木马通常的做法是将该何变为这样:shell=。 注意这里的就是木马服务端程序! 另外，在System.中的[386Enh]字段，要注意检查在此段内的driver＝路径\程序名这里也有可能被木马所利用。 再有，在中的[mic]、[drivers]、[drivers32]这3个字段，这些段也是起到加载驱动程序的作用，但也是增添木马程序的好场所，现在你该知道也要注意这里喽。 3.利用注册表加载运行 如下所示注册表位置都是木马喜好的藏身加载之所，赶快检查一下，有什么程序在其下。 4.在和中加载运行 请大家注意，在C盘根目录下的这两个文件也可以启动木马。 但这种加载方式一般都需要控制端用户与服务端建立连接后，将己添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行，而且采用这种方式不是很隐蔽。 容易被发现，所以在和Confings中加载木马程序的并不多见，但也不能因此而掉以轻心。 5.在中启动 是一个特殊性丝毫不亚于的批处理文件，也是一个能自动被Windows加载运行的文件。 它多数情况下为应用程序及Windows自动生成，在执行了Windows自动生成，在执行了并加截了多数驱动程序之后 开始执行 (这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。 由于的功能可以由代替完成，因此木马完全可以像在中那样被加载运行，危险由此而来。 6.启动组 木马们如果隐藏在启动组虽然不是十分隐蔽，但这里的确是自动加载运行的好场所，因此还是有木马喜欢在这里驻留的。 启动组对应的文件夹为C:\Windows\start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Explorer\shell Folders Startup=c:\windows\start menu\programs\startup。 要注意经常检查启动组哦! 7.* 即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。 只启动一次的方式:在.中(用于安装较多)。 8.修改文件关联 修改文件关联是木马们常用手段 (主要是国产木马，老外的木马大都没有这个功能)，比方说正常情况下TXT文件的打开方式为文件，但一旦中了文件关联木马，则txt文件打开方式就会被修改为用木马程序打开，如著名的国产木马冰河就是这样干的. 冰河就是通过修改HKEY_CLASSES_ROOT\txtfile\whell\open\command下的键值，将“C:\WINDOWS\本应用Notepad打开，如著名的国产HKEY一CLASSES一ROOT\txt闹e\shell\open\commandT的键值，将 C:\WINDOWS\%l改为 C:\WINDOWS\SYSTEM\%l，这样，一旦你双击一个TXT文件，原本应用Notepad打开该文件，现在却变成启动木马程序了，好狠毒哦!请大家注意，不仅仅是TXT文件，其他诸如HTM、EXE、等都是木马的目标，要小心搂。 对付这类木马，只能经常检查HKEY_C\shell\open\command主键，查看其键值是否正常。 9.捆绑文件 实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖源文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马义会安装上去。 绑定到某一应用程序中，如绑定到系统文件，那么每一次Windows启动均会启动木马。 10.反弹端口型木马的主动连接方式 反弹端口型木马我们已经在前面说过了，由于它与一般的木马相反，其服务端 (被控制端)主动与客户端 (控制端)建立连接，并且监听端口一般开在80，所以如果没有合适的工具、丰富的经验真的很难防范。 这类木马的典型代表就是网络神偷。 由于这类木马仍然要在注册表中建立键值注册表的变化就不难查到它们。 同时，最新的天网防火墙(如我们在第三点中所讲的那样)，因此只要留意也可在网络神偷服务端进行主动连接时发现它。 QUOTE: 木马的隐藏方式 1.在任务栏里隐藏 这是最基本的隐藏方式。 如果在windows的任务栏里出现一个莫名其妙的图标，傻子都会明白是怎么回事。 要实现在任务栏中隐藏在编程时是很容易实现的。 我们以VB为例。 在VB中，只要把from的Visible属性设置为False,ShowInTaskBar设为False程序就不会出现在任务栏里了。 2.在任务管理器里隐藏 查看正在运行的进程最简单的方法就是按下Ctrl+Alt+Del时出现的任务管理器。 如果你按下Ctrl+Alt+Del后可以看见一个木马程序在运行，那么这肯定不是什么好木马。 所以，木马会千方百计地伪装自己，使自己不出现在任务管理器里。 木马发现把自己设为 系统服务“就可以轻松地骗过去。 因此，希望通过按Ctrl+Alt+Del发现木马是不大现实的。 3.端口 一台机器有个端口，你会注意这么多端口么?而木马就很注意你的端口。 如果你稍微留意一下，不难发现，大多数木马使用的端口在1024以上，而且呈越来越大的趋势;当然也有占用1024以下端口的木马，但这些端口是常用端口，占用这些端口可能会造成系统不正常，这样的话，木马就会很容易暴露。 也许你知道一些木马占用的端口，你或许会经常扫描这些端口，但现在的木马都提供端口修改功能，你有时间扫描个端口么? 4.隐藏通讯 隐藏通讯也是木马经常采用的手段之一。 任何木马运行后都要和攻击者进行通讯连接，或者通过即时连接，如攻击者通过客户端直接接人被植人木马的主机;或者通过间接通讯。 如通过电子邮件的方式，木马把侵入主机的敏感信息送给攻击者。 现在大部分木马一般在占领主机后会在1024以上不易发现的高端口上驻留;有一些木马会选择一些常用的端口，如80、23,有一种非常先进的木马还可以做到在占领80HTTP端口后，收到正常的HTTP请求仍然把它交与Web服务器处理，只有收到一些特殊约定的数据包后，才调用木马程序。 5.隐藏隐加载方式 木马加载的方式可以说千奇百怪，无奇不有。 但殊途同归，都为了达到一个共同的目的，那就是使你运行木马的服务端程序。 如果木马不做任何伪装，就告诉你这是木马，你会运行它才怪呢。 而随着网站互动化避程的不断进步，越来越多的东西可以成为木马的传播介质，Java Script、VBScript、....几乎WWW每一个新功能部会导致木马的快速进化。 6.最新隐身技术 在Win9x时代，简单地注册为系统进程就可以从任务栏中消失，可是在Windows2000盛行的今天。 这种方法遭到了惨败。 注册为系统进程不仅仅能在任务栏中看到，而且可以直接在Services中直接控制停止。 运行(太搞笑了，木马被客户端控制)。 使用隐藏窗体或控制台的方法也不能欺骗无所不见的Admlin大人(要知道，在NT下，Administrator是可以看见所有进程的)。 在研究了其他软件的长处之后，木马发现，Windows下的中文汉化软件采用的陷阱技术非常适合木马的使用。 这是一种更新、更隐蔽的方法。 通过修改虚拟设备驱动程序(VXD)或修改动态遵掇库 (DLL)来加载木马。 这种方法与一般方法不同，它基本上摆脱了原有的木马模式---监听端口，而采用替代系统功能的方法(改写vxd或DLL文件)，木马会将修改后的DLL替换系统已知的DLL，并对所有的函数调用进行过滤。 对于常用的调用，使用函数转发器直接转发给被替换的系统DLL，对于一些相应的操作。 实际上。 这样的事先约定好的特种情况，DLL会执行一般只是使用DLL进行监听，一旦发现控制端的请求就激活自身，绑在一个进程上进行正常的木马操作。 这样做的好处是没有增加新的文件，不需要打开新的端口，没有新的进程，使用常规的方法监测不到它。 在往常运行时，木马几乎没有任何瘫状，且木马的控制端向被控制端发出特定的信息后，隐藏的程序就立即开始运作。