cn-sec.com
Open in
urlscan Pro
2606:4700:3031::ac43:ce36
Public Scan
Submitted URL: http://cn-sec.com/archives/2885847.html
Effective URL: https://cn-sec.com/archives/2885847.html
Submission: On November 14 via api from IN — Scanned from US
Effective URL: https://cn-sec.com/archives/2885847.html
Submission: On November 14 via api from IN — Scanned from US
Form analysis
9 forms found in the DOMGET https://cn-sec.com/
<form method="get" id="searchform-so" action="https://cn-sec.com/">
<span class="search-input">
<input type="text" value="" name="s" id="so" class="bk dah" placeholder="输入关键字" required="">
<button type="submit" id="searchsubmit-so" class="bk da"><i class="be be-search"></i></button>
</span>
<div class="clear"></div>
</form>
Name: f1 —
<form name="f1" onsubmit="return g(this)" target="_blank">
<span class="search-input">
<input name="word" class="swap_value bk dah" placeholder="百度一下">
<input name="tn" type="hidden" value="bds">
<input name="cl" type="hidden" value="3">
<input name="ct" type="hidden">
<input name="si" type="hidden" value="cn-sec.com">
<button type="submit" id="searchbaidu" class="search-close bk da"><i class="be be-baidu"></i></button>
<input name="s" class="choose" type="radio">
<input name="s" class="choose" type="radio" checked="">
</span>
</form>
GET https://cse.google.com/cse
<form method="get" id="searchform" action="https://cse.google.com/cse" target="_blank">
<span class="search-input">
<input type="text" value="" name="q" id="s" class="bk dah" placeholder="Google">
<input type="hidden" name="cx" value="005077649218303215363:ngrflw3nv8m">
<input type="hidden" name="ie" value="UTF-8">
<button type="submit" id="searchsubmit" class="search-close bk da"><i class="cx cx-google"></i></button>
</span>
</form>
GET https://www.bing.com/search
<form method="get" id="searchform" action="https://www.bing.com/search" target="_blank">
<span class="search-input">
<input type="text" value="" name="q" id="s" class="bk dah" placeholder="Bing">
<input type="hidden" name="q1" value="site:cn-sec.com">
<button type="submit" id="searchsubmit" class="bk da"><i class="cx cx-bing"></i></button>
</span>
</form>
Name: sogou_queryform — https://www.sogou.com/web
<form action="https://www.sogou.com/web" target="_blank" name="sogou_queryform">
<span class="search-input">
<input type="text" placeholder="上网从搜狗开始" name="query" class="bk dah">
<button type="submit" id="sogou_submit" class="search-close bk da" onclick="check_insite_input(document.sogou_queryform, 1)"><i class="cx cx-Sougou"></i></button>
<input type="hidden" name="insite" value="cn-sec.com">
</span>
</form>
POST https://cn-sec.com/wp-comments-post.php
<form action="https://cn-sec.com/wp-comments-post.php" method="post" id="commentform">
<div class="comment-user-inf">
<div class="comment-user-inc">
<h3 id="reply-title" class="comment-reply-title"><span>发表评论</span></h3>
<span class="comment-user-name">匿名网友</span>
<span class="comment-user-alter"><span class="comment-user-write">填写信息</span></span>
</div>
</div>
<div class="comment-form-comment">
<textarea id="comment" class="dah bk" name="comment" rows="4" tabindex="1" placeholder="赠人玫瑰,手留余香..." onfocus="this.placeholder=''" onblur="this.placeholder='赠人玫瑰,手留余香...'"></textarea>
<div id="loading" style="display: none;">
<div class="loading-spin"></div>
</div>
<div id="error" style="display: none;">#</div>
<p class="comment-tool bgt">
</p>
</div>
<div id="comment-author-info" class="comment-info author-form">
<p class="comment-form-author pcd">
<label class="da" for="author">昵称</label>
<input type="text" name="author" id="author" class="commenttext dah" value="" tabindex="2" required="required">
<span class="required bgt"><i class="be be-loader"></i> </span>
</p>
<p class="comment-form-email pcd">
<label class="da" for="email">邮箱</label>
<input type="text" name="email" id="email" class="commenttext dah" value="" tabindex="3" required="required">
<span class="required bgt"><i class="be be-loader"></i></span>
</p>
<p class="comment-form-url pcd qqcd">
<label class="da" for="url">网址</label>
<input type="text" name="url" id="url" class="commenttext dah" value="" tabindex="4">
</p>
<div class="clear"></div>
</div>
<p class="form-submit">
<input id="submit" class="bk dah" name="submit" type="submit" value="提交">
<span class="cancel-reply"><a rel="nofollow" id="cancel-comment-reply-link" href="/archives/2885847.html#respond" style="display:none;">取消</a></span>
</p>
<div class="qaptcha-box">
<div class="unlocktip" data-hover="滑动解锁"></div>
<div class="qaptcha">
<div class="bgslider">
<div class="slider bk da ui-draggable ui-draggable-handle" style="position: relative;"></div>
</div><input name="XDge8f7bAJ8-6QSvhfxM#MfqMgqnkaF4" value="7YtJtGU" type="hidden">
</div>
</div>
<input type="hidden" name="comment_post_ID" value="2885847" id="comment_post_ID">
<input type="hidden" name="comment_parent" id="comment_parent" value="0">
<p style="display: none !important;"><label>Δ<textarea name="ak_hp_textarea" cols="45" rows="8" maxlength="100"></textarea></label><input type="hidden" id="ak_js" name="ak_js" value="1731588068882">
<script>
document.getElementById("ak_js").setAttribute("value", (new Date()).getTime());
</script>
</p>
</form>
GET https://cn-sec.com/
<form method="get" id="searchform" action="https://cn-sec.com/">
<span class="search-input">
<input type="text" value="" name="s" id="s" class="bk da" placeholder="输入搜索内容" required="">
<button type="submit" id="searchsubmit" class="bk da"><i class="be be-search"></i></button>
</span>
<div class="clear"></div>
</form>
POST
<form class="zml-form" action="" method="post">
<div class="zml-status"></div>
<div class="zml-username">
<div class="zml-username-input zml-ico">
<input class="input-control dah bk" type="text" name="log" placeholder="用户名" onfocus="this.placeholder=''" onblur="this.placeholder='用户名'" tabindex="1">
</div>
</div>
<div class="zml-password">
<div class="zml-password-label pass-input">
<div class="togglepass"><i class="be be-eye"></i></div>
</div>
<div class="zml-password-input zml-ico">
<input class="login-pass input-control dah bk" type="password" name="pwd" placeholder="密码" onfocus="this.placeholder=''" onblur="this.placeholder='密码'" autocomplete="off" tabindex="2">
</div>
</div>
<div class="login-form"></div>
<div class="zml-submit">
<div class="zml-submit-button">
<input type="submit" name="wp-submit" class="button-primary" value="登录" tabindex="15">
<input type="hidden" name="login-ajax" value="login">
<input type="hidden" name="security" value="a93e63399e">
<input type="hidden" name="redirect_to" value="/archives/2885847.html">
</div>
<div class="rememberme pretty success">
<input type="checkbox" name="rememberme" value="forever" checked="checked">
<label for="rememberme" type="checkbox">
<i class="mdi" data-icon=""></i>
<em>记住我的登录信息</em>
</label>
</div>
</div>
</form>
POST
<form class="zml-remember" action="" method="post">
<div class="zml-status"></div>
<div class="zml-remember-email"> 输入用户名或电子邮件 <input type="text" name="user_login" class="input-control remember dah bk" value="" onfocus="if(this.value == ''){this.value = '';}" onblur="if(this.value == ''){this.value = ''}" tabindex="1">
<div class="clear"></div>
<p class="label-captcha zml-ico captcha-ico">
<img class="bk" src="https://cn-sec.com/wp-content/themes/cn_sec/inc/captcha/captcha_images.php?width=120&height=35&code=JDWCcg%3D%3D">
<input type="text" name="be_security_code" class="input captcha-input dah bk" value="" tabindex="10" placeholder="验证码" onfocus="this.placeholder=''" onblur="this.placeholder='验证码'"><br>
<input type="hidden" name="be_security_check" value="JDWCcg%3D%3D">
<label id="be_hp_label" style="display: none;">HP<br>
<input type="text" name="be_hp" value="" class="input" size="20" tabindex="1001">
</label>
</p>
<div class="clear"></div>
</div>
<div class="zml-submit-button">
<input type="submit" tabindex="15" value="获取新密码" class="button-primary">
<input type="hidden" name="login-ajax" value="remember">
</div>
<div class="zml-register-tip">重置密码链接通过邮箱发送给您</div>
</form>
Text Content
欢迎光临! 登录 * DNSlog * CN-SEC中文网·在线工具 * 设备默认密码查询 * 在线工具集合 * 娱乐一下 * 友情链接 * CN-SEC 中文网 聚合网络 安全,存储安全技术文章,融合安全最新讯息 登录 * 首页 * 安全新闻 * 云安全 * 安全博客 * 鬼仔Blog * 独自等待 * dmsec * Asura笔记本 * gh0st_cn * javasec_cn * moonsec_com * Mr.Wu * 颓废's Blog * 漏洞时代 * SecIN安全技术社区 * 安全漏洞 * 乌云漏洞 * 安全文章 * HW&HVV * 应急响应 * 人工智能安全 * 逆向工程 * CTF专场 * 移动安全 * IoT工控物联网 * 安全开发 * 代码审计 * 安全工具 * * 安全闲碎 搜索热点 首页安全文章利用武器化的 Windows 快捷方式 进行无文件 RokRat 恶意软件的部署 点赞 https://cn-sec.com/archives/2885847.html 复制链接 复制链接 利用武器化的 WINDOWS 快捷方式 进行无文件 ROKRAT 恶意软件的部署 admin 123641 文章 97 评论 2024年6月26日10:53:17评论23 views字数 1284阅读4分16秒阅读模式 黑客利用LNK(Windows快捷方式)文件传播恶意软件,因为它们能够携带恶意代码,在单击快捷方式时自动执行。尽管LNK文件表面看似无害,但它们实际上可以触发恶意软件下载或其他恶意操作,因此成为Windows系统上有效的初始感染方式。 最近,ASEC网络安全研究人员发现,威胁行为者积极利用武器化的Windows快捷方式文件来部署无文件的“RokRat”恶意软件。 无文件的RokRat恶意软件 AhnLab 证实,RokRat 恶意软件一直在针对韩国用户,尤其是与朝鲜问题相关的用户。已知的恶意LNK文件名称包括: ·National Information Academy 8th Integrated Course Certificate (Final).lnk ·Gate access roster 2024.lnk ·Northeast Project (US Congressional Research Service (CRS Report).lnk ·Facility list.lnk 这些恶意LNK文件通过CMD执行PowerShell,与去年的RokRAT样本相似。值得注意的是,它们在LNK文件中捆绑了以下内容以增加社会工程诱惑: ·合法文件 ·脚本 ·恶意PE负载 当LNK文件运行时,它会使用PowerShell创建一个合法文档诱饵,然后在公共文件夹中创建三个文件(find.bat、search.dat、viewer.dat)。find.bat运行search.dat,它以无文件方式执行viewer.dat中的RokRAT后门有效负载。 RokRAT能够收集用户数据并接收命令,并将窃取的信息泄露到攻击者的云服务器(如pCloud、Yandex和DropBox),同时将请求伪装成Googlebot。利用无文件技术的多阶段执行过程旨在逃避检测。 有关所使用的云 URL 的详细信息(来源 - ASEC) RokRAT能够运行命令、显示目录、删除启动文件、收集启动/应用程序数据/最近的文件列表以及收集系统和网络信息。攻击者 威胁行为者经常瞄准与韩国统一、军事或教育部门相关的目标,涉及这些领域的组织应格外警惕此类性质的持续攻击。 IoCs ·b85a6b1eb7418aa5da108bc0df824fc0 ·358122718ba11b3e8bb56340dbe94f51 ·35441efd293d9c9fb4788a3f0b4f2e6b ·68386fa9933b2dc5711dffcee0748115 ·bd07b927bb765ccfc94fadbc912b0226 ·6e5e5ec38454ecf94e723897a42450ea ·3114a3d092e269128f72cfd34812ddc8 ·bd98fe95107ed54df3c809d7925f2d2c 参考及来源:https://gbhackers.com/weaponized-windows-fileles-rokrat-malware/ > 原文始发于微信公众号(天唯 信息安全):利用武器化的 Windows 快捷方式 进行无文件 RokRat 恶意软件的部署 点赞 https://cn-sec.com/archives/2885847.html 复制链接 复制链接 * 左青龙 * 微信扫一扫 * * 右白虎 * 微信扫一扫 * 安全文章 * 武器化 * dat * 无文件 * lnk文件 * rokrat * .lnk * 恶意软件 * lnk * 快捷方式 NO.6 VIOLATOR 靶场 WEB漏洞挖掘随笔 利用SONATYPE API实现依赖检测工具 NO.7 VULNCMS 靶场 METASPLOIT之MSFVENOM实战渗透 记录一次简单的VULHUB-TOMCAT8漏洞复现 TAILSCALE内网穿透利用 远程加载SHELLCODE解密执行 MSSQL的XP_CMDSHELL扩展被删除情况下的利用-CLR技术 网络安全缩略语汇编手册-M(2) NO.6 VIOLATOR 靶场 WEB漏洞挖掘随笔 利用SONATYPE API实现依赖检测工具 NO.7 VULNCMS 靶场 METASPLOIT之MSFVENOM实战渗透 记录一次简单的VULHUB-TOMCAT8漏洞复现 TAILSCALE内网穿透利用 远程加载SHELLCODE解密执行 MSSQL的XP_CMDSHELL扩展被删除情况下的利用-CLR技术 网络安全缩略语汇编手册-M(2) * 本文由 admin 发表于 2024年6月26日10:53:17 * 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出): 利用武器化的 Windows 快捷方式 进行无文件 RokRat 恶意软件的部署https://cn-sec.com/archives/2885847.html 上一篇 碧海威 L7多款产品存在命令执行漏洞(6000+资产) 下一篇 WEB前端逆向随笔 朝鲜黑客以 macOS 用户为目标 新型ZIP文件攻击技术针对Windows用户展开攻击 Hadooken 和 K4Spreader:8220 Gang组织的最新武器库 新型ZIP串联文件攻击针对Windows用户传播恶意软件 广告位招租 广告位招租1 广告位招租 广告位招租2 发表评论 匿名网友 填写信息 # 昵称 邮箱 网址 取消 Δ 【腾讯云】产品特惠热卖中 【腾讯云】云服务器、云数据库、COS、CDN、短信等云产品特惠热卖中 厂商·招聘|广告 [长期有效] * [深信服-深蓝攻防实验室]关于红队成长的分享【招聘内推】 06/20 CN-SEC站务 本类热门文章 * URL Hacking 前端猥琐流 829,907 views 1 * 电信某系统爆炸核弹级0day 25,366 views 6 * 常见的华为设备默认账号与密码 14,264 views 0 * Spring core RCE 漏洞及修复信息 10,412 views 1 * 帆软报表 v8.0 任意文件读取漏洞 CNVD-2018-04757 8,383 views 1 * 64位Linux下的栈溢出 8,193 views 0 * CobaltStrike+MetaSploit 实战联动 7,352 views 4 安全文章 * 记录一次简单的vulhub-tomcat8漏洞复现 11/12 1 views * Tailscale内网穿透利用 11/12 5 views * 远程加载shellcode解密执行 11/12 8 views * MSSQL的xp_cmdshell扩展被删除情况下的利用-CLR技术 11/12 2 views * 网络安全缩略语汇编手册-M(2) 11/12 7 views * NO.6 violator 靶场 11/12 1 views * web漏洞挖掘随笔 11/12 8 views * 利用Sonatype API实现依赖检测工具 11/12 0 views * NO.7 vulnCMS 靶场 11/12 4 views * Metasploit之Msfvenom实战渗透 11/12 2 views 热门标签 https http 未分类 远程代码执行漏洞 代码 勒索软件 web python 数据泄露 信息安全 渗透测试 漏洞预警 服务器 文件 工具 网络 ctf 网络安全 数据安全 ip 人工智能 漏洞复现 linux payload php 黑客 攻击者 cve github windows 注入漏洞 microsoft cwe 漏洞 rce xss 用户 网络攻击 sql注入漏洞 密码 安全 shellcode java sql注入 com sql 恶意软件 信息收集 身份验证 攻击 最新文章 * 债务减免公司遭遇数据泄露 150 万客户信息遭泄露 11/13 1 views * 网络安全平台化反思 11/13 0 views * Darkdump:一款功能强大的深网信息搜索工具 11/12 2 views * 记录一次简单的vulhub-tomcat8漏洞复现 11/12 1 views * Tailscale内网穿透利用 11/12 5 views * 实用工具 | Chatbox V0.2.9,解决chatgpt网页端访问卡顿掉线情况 11/12 3 views * 远程加载shellcode解密执行 11/12 8 views 大家喜欢 * 669个大学网站都有注入点 4305/01 * 揭秘CVE-2024-21111:Oracle VirtualBox 本地权限提升漏洞 2806/12 * 【工具】Awvs14.7.220401065|可自测Spring4Shell漏洞 2304/03 * 信息安全工程师教程第2版(文末附电子版下载) 1709/07 * Cobalt Strike 4.4 (August 04, 2021)发布 1308/26 * 正方教务管理系统最新版无条件注入&GetShell 1201/01 * Acunetix14.x全版本通杀破解补丁 1012/17 关于本站 CN-SEC.COM中文网 聚合网络 安全,存储安全技术文章,融合安全最新讯息 文章126287 留言 623 访客19405311 CN-SEC 中文网 网站概况[CN-SEC 中文网] * 文章126287 * 分类47 * 标签135539 * 留言623 * 链接0 * 浏览19405311 * 今日133 * 本周330 * 运行3151 天 * 更新2024-11-13 Copyright © CN-SEC中文网 版权所有. 登录 找回密码 记住我的登录信息 输入用户名或电子邮件 HP 重置密码链接通过邮箱发送给您 * 目录 * * * * * * * 在线咨询 13688888888 8888 QQ在线咨询 微信 * 本页二维码 登录 * 首页 * 安全新闻 * 云安全 * 安全博客 * 鬼仔Blog * 独自等待 * dmsec * Asura笔记本 * gh0st_cn * javasec_cn * moonsec_com * Mr.Wu * 颓废's Blog * 漏洞时代 * SecIN安全技术社区 * 安全漏洞 * 乌云漏洞 * 安全文章 * HW&HVV * 应急响应 * 人工智能安全 * 逆向工程 * CTF专场 * 移动安全 * IoT工控物联网 * 安全开发 * 代码审计 * 安全工具 * 安全闲碎 *