首頁 > 運維 > 安全 > APT框架TajMahal怎麼用

APT框架TajMahal怎麼用

WBOY
發布: 2023-05-13 18:43:06
轉載
846 人瀏覽過

概述

    'TajMahal'是卡巴斯基實驗室在2018年秋季發現的一個以前未知且技術複雜的APT框架。這個完整的間諜框架由兩個名為“東京”和“橫濱”的包組成。它包括後門,加載器,協調器,C2通信器,錄音機,鍵盤記錄器,屏幕和網絡攝像頭抓取器,文檔和加密密鑰竊取程序,甚至是受害者機器的自己的文件索引器。我們發現其加密的虛擬檔案系統中儲存了多達80個惡意模組,這是我們見過的APT工具集中插件數量最多的插件之一。

    為了突顯其功能,TajMahal能夠從受害者以及印表機佇列中燒錄的CD中竊取資料。它還可以要求從先前看到的USB記憶棒中竊取特定檔案;下次USB連接到電腦時,檔案將被盜。

    TajMahal至少在過去五年中已經發展和使用。第一個已知的「合法」樣本時間戳記是從2013年8月開始,最後一個是從2018年4月開始。在受害者的機器上看到TajMahal樣本的第一個確認日期是2014年8月。


技術細節

    卡巴斯基發現了兩種不同類型的TajMahal包,自稱為東京和橫濱。卡巴斯基實驗室發現的受害者係統被兩個軟體包感染。這顯示東京被用作第一階段感染,東京在受害者係統佈置了功能齊全的橫濱,框架如下圖所示:

APT框架TajMahal怎麼用

    根據這些受害者機器上的模組,確定了以下有趣的功能:

  • 能夠竊取傳送到印表機佇列的文件。

  • 為受害者偵察收集的資料包含Apple行動裝置的備份清單。

  • 錄製VoiceIP應用程式音訊時拍攝螢幕截圖。

  • 偷了寫CD映像。

  • 能夠在再次可用時竊取先前在可移動磁碟機上看到的檔案。

  • 竊取Internet Explorer,Netscape Navigator,FireFox和RealNetworks cookie。

  • 如果從前端檔案或相關登錄值中刪除,則在重新引導後將使用新名稱和啟動類型重新顯示。

歸屬:

猜想一:俄羅斯

卡巴斯基目前隻公開了一個受害者,中亞地區一個外交部門,在先前的報告中,APT28也開始針對中亞地區進行攻擊活動。


APT框架TajMahal怎麼用

猜想二:美國:

由地圖可見,中亞地區毗鄰俄羅斯,中國,該地區一直是美國極力拉攏的對象

APT框架TajMahal怎麼用

    且該框架卡巴稱為複雜的模組化框架,根據時間戳最早13年就編譯,18年卡巴才首次發現,而美國的APT攻擊通常也是隱密且模組化,不易被發現,像Flame就是第一個被發現的複雜的模組化木馬

以上是APT框架TajMahal怎麼用的詳細內容。更多資訊請關注PHP中文網其他相關文章!

相關標籤:
來源:yisu.com
本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn
熱門教學
更多>
最新下載
更多>
網站特效
網站源碼
網站素材
前端模板