追溯朝鲜APT组织Lazarus的攻击历程
来源:岁月联盟
时间:2020-01-29
在VT搜索框中,输入:content:"{51 53 55 8B 6C 24 10 56 57 6A 20 8B 45 00 8D 75 04 24 01 0C 01 46 89 45 00 C6 46 FF 03 C6 06 01 46 56 E8}",就能筛选出所有具有这个代码片段的样本,直到今年7月份,都还有相关的样本活跃。
打开详细信息,发现这是Lazarus用于攻击孟加拉国的alreay攻击组件,那么也就说明,WannaCry和Alreay确实有共用的代码片段,通过这种方式,就可以关联出Lazarus所使用的攻击组件。
将yara规则添加到hunting中,一旦VT捕获到新的样本符合这条规则,就会立刻通知我们。
上一页 [1] [2]
