微软近期发现了一个总部设在黎巴嫩的攻击组织 POLONIUM。根据受害者与攻击工具的分析,微软认为其很有可能是由伊朗情报与安全部(MOIS)下属的攻击者运营的。并且,微软未发现该组织的攻击与过往黎巴嫩相关攻击组织有任何关联。自从 2020 年以来,有消息称伊朗正在从第三方代理人处开展网络攻击行动,以对抗归因指责。
在过去的三个月中,POLONIUM 组织已经攻击了二十余个以色列组织与一个在黎巴嫩开展业务的政府间合作组织。该攻击利用合法云服务(OneDrive)与受害者进行 C&C 通信。
攻击活动
自 2022 年 2 月以来,POLONIUM 主要针对以色列的制造业、信息技术行业和国防行业发起攻击。在一个案例中,发现 POLONIUM 将一个 IT 公司攻陷后利用其进行供应链攻击,攻击下游航空公司与律师事务所。该组织攻击的多个制造业公司也都是为以色列国防部门服务的。
这很符合伊朗攻击组织的攻击倾向,现在攻击者越来越倾向于瞄准服务提供商进行攻击,获取下游访问权限。
归因
微软以中等信心评估 POLONIUM 组织由伊朗情报和安全部(MOIS)负责运营:
滥用云服务
POLONIUM 利用云服务进行命令和控制以及数据泄露,微软在攻击中发现 POLONIUM 滥用 OneDrive 和 Dropbox。相关恶意软件被检测为:
尽管 OneDrive 会对所有上传的文件进行扫描,但 POLONIUM 并未使用 OneDrive 存储恶意软件,只是与合法用户相同的方式与云服务进行交互。
CreepyDrive
CreepyDrive 利用 OneDrive 进行 C&C 通信,样本具备上传下载文件的基本功能。
CreepyDrive 的所有请求都使用 Invoke-WebRequest cmdlet。该样本一旦运行,就会持续工作。但该样本不包含持久化机制,如果终止就需要攻击者手动重启。
CreepyDrive 其中缺少受害者标识符,研究人员猜测可能对不同的攻击目标使用了不同的样本,对应不同的 OneDrive 账户。
获取 OAuth 令牌
攻击者在样本中内置了 Refresh Token,这是 OAuth 2 规范的一部分,允许在过期后发布新的 OAuth Token。这种情况下,与 OneDrive 帐户相关的保护设置完全由威胁参与者控制。
通过请求生成 OAuth Token。
该请求是为恶意样本提供必要的 OAuth Token,以实现对 OneDrive 的交互。使用该 OAuth Token 就可以向 Microsoft Graph API 请求()访问>data.txt 文件指示恶意程序要执行的任务,主要是三个分支。
响应中为 Upload 时,触发该分支。还需要包含两个信息:要上传的本地文件路径、攻击者自定义的远程文件名。请求结构为:ttps://graph.microsoft.com/v1.0/me/drive/root:/Uploaded/???:/content。
(2) Download
响应中为 Download 时,触发该分支。通过 OneDrive 下载文件,请求结构为:。
(3) Execute
未响应任何指令时,将进入该分支。响应中可以包含要执行的命令数组或先前下载文件的文件路径。攻击者也可以使用单命令与文件路径的组合。
数组中的每个值都单独作为参数传递给以下自定义函数,该函数使用 Invoke-Expression cmdlet 运行命令:
自定义函数
每个命令的执行结果都会收集起来,发送到 OneDrive 上的以下位置:。
执行期间,攻击者可以使用请求重置原始文件>最后,CreepyDrive 进入休眠,休眠结束后重新执行。
CreepySnail
POLONIUM 组织使用了一个被检测为Backdoor:PowerShell/CreepySnail.B!dha的自定义 PowerShell 程序。发现的 CreepySnail 的 C&C 服务器 为:
下面的代码显示了 CreepySnail PowerShell 程序如何使用窃取的凭证进行身份验证并连接到 C&C 服务器。
CreepySnail PowerShell 代码
公共工具的使用
POLONIUM 通过 OneDrive 下载了一个辅助程序 plink,这是一种常见的自动化交互式 SSH 工具。攻击者使用其在失陷主机与攻击基础设施间创建冗余隧道。观察到的用于 plink 隧道的 C&C 地址:
供应链攻击
POLONIUM 入侵了一家位于以色列的云服务提供商,使用服务商的访问权限来入侵下游客户,又入侵了以色列一家律师事务所和一家航空公司。利用 IT 产品和服务提供商入侵下游客户,仍然是伊朗攻击者的最爱。
有什么单机游戏爽
真三国无双鬼泣混乱军团
克里斯保罗应不应该转俱乐部
真的要转应该转到组织后卫羸弱的球队,并且要具有一定实力的球队。 正常情况,不出以外,黄蜂绝对不会放走保罗的。 保罗是黄蜂的根基,黄蜂要以保罗建立,所以很小有机会转会。 要转会一定等双方都失去了信心,才有可能!
为什么白人(脸、身材)更符合大众审美观?
1.即使是黄种人,仍然觉得白人随便在街上拣一个平均都很好看。 2.国人很多都喜欢挺拔鼻梁,深眼窝,瘦脸(这些很多就是白人的特点)3.丰乳肥臀高腰4.皮肤白乳晕粉================以上是问题部分,以下是回答部分========================这是因为现代大众的审美观很明显受到西方审美观的影响。 1.古代中国男人欣赏女子的乳房是「恰堪一握」,而不是现代的「丰胸巨乳」。 2.而对于脸型,古代中国人的要求一般是「前额天庭广而阔,颧骨微隆额圆珠,鼻圆肉肥柔无骨」,脸圆、额宽这是所谓的「旺夫相」。 现代人崇尚的瘦脸、瓜子脸在古人看来是「风流相」,是卖笑的,不适合做老婆的。 3.「肥臀」这一点倒是普世的,因为中国人普遍认为屁股大的女人会生孩子,即使是现在依然如此。 4.「皮肤白」这个也是普世的(非洲人应该不这么看)。 中国人是崇尚「一白遮百丑」。 不过白种人本身在皮肤白这点上就有先天优势,没啥好说。 5.至于「乳晕粉」,我想说女性乳晕变黑,一般是因为细胞老化、雌性激素分泌,导致乳头表皮组织的黑色素沉淀。 而且生理期的时候乳晕会更容易变黑,而更年期后的妇女,因为雌性激素水平低下,乳头、乳晕及小阴唇反而会出现粉红色。 所以「乳晕粉」这一点上,应该白种人不会比黄种人有更多的优势吧。 对于鼻子,古人则是有个比喻「鼻若琼瑶」「鼻若悬胆」。 前者注重鼻子的圆润、粉嫩,后者注重鼻子的立体感。 8.至于身材,大部分是练出来的。 还有就是观念的问题,中国女生「谈肌色变」,中国男生更是不注重身材的保持。 中国年轻人里有几个人会去健身房的?而去健身房的女生里又有几个会进行力量训练的?就做做瑜伽、跑跑步,这样能有比西方人好的身材?先天条件本身就不如白种人,对力量练习又充满偏见,身材这一点被西方人完爆是肯定的。 比如臀部。 下面这幅图,左边不练深蹲,右边练深蹲,这就是进不进行力量训练的区别。 9.审美标准其实是由话语权决定的,掌握
发表评论