[번역] APT 분석 보고서 : 05. Turla 새로운 워터 링 홀 공격 백도어 (NetFlash 및 PyFlash)

저자가 오픈 한 새로운 칼럼으로, 해외 유명 보안 업체의 APT 보고서 기사를 주로 번역하고, 그들의 보안 기술을 이해하고, APT 조직을 추적하는 방법을 배우는 것이 도움이되기를 바랍니다. 이전 기사에서는 Windows 오류보고 서비스를 사용하여 탐지를 회피하는 새로운 유형의 파일없는 APT 공격 Kraken을 공유했습니다. 이 기사에서는 Turla의 새로운 워터 링 홀 공격 백도어 (NetFlash 및 PyFlash)를 소개합니다. 연구원들은 Turla가 Armenian의 잘 알려진 웹 사이트에서 워터 링 홀 공격을 시작했다는 사실을 발견했습니다. 피해자는 Adobe Flash 업데이트를 위조하여 두 가지 새로운 악성 코드 NetFlash 및 PyFlash를 다운로드하도록 속았습니다. 악의적 인 공격을 달성하기 위해 전체 공격의 TTP는 기본적으로 변경되지 않았지만 Turla는 처음으로 Python 백도어를 사용했습니다.

• 原文 标题 ： Tracking Turla : 아르메니아 물 구멍을 통해 새로운 백도어 제공
• 원본 링크 : https://www.welivesecurity.com/2020/03/12/tracking-turla-new-backdoor-armenian-watering-holes/
• 기사 작성자 : Matthieu Faou
• 출시 시간 : 2020 년 3 월 12 일
• 기사 출처 : Welivesecurity.com
• 추천 기사 : https://www.freebuf.com/articles/network/230436.html

---

1. 웅덩이 공격이란?

워터 링홀 (Watering Hole)은 해킹 방법 중 하나로 피해자가 통과해야하는 길에 '워터 링홀 (덫)'을 설치합니다. 가장 일반적인 방법은 해커가 공격 대상의 온라인 활동의 규칙 성을 분석하고 공격 대상이 자주 방문하는 웹 사이트의 약점을 찾고 먼저 웹 사이트를 "파괴"하고 공격 코드를 삽입하는 것입니다. 공격 대상이 웹 사이트를 방문하면 "성공"합니다. 이러한 종류의 공격은 대상 그룹이 신뢰하는 웹 사이트에 의존하기 때문에 공격의 성공률이 매우 높으며 스피어 공격이나 기타 형태의 피싱 공격으로부터 방어 할 수있는 능력이있는 그룹조차도 사기에 취약합니다.

워터 링 홀 공격은 APT 공격의 한 유형입니다. 해커는 피싱 공격과 비교할 때 피싱 웹 사이트를 만드는 데 에너지를 소비 할 필요가없고 대신 더 숨겨져있는 합법적 인 웹 사이트의 약점을 사용합니다. 오늘날 사람들의 보안 인식이 계속 높아지면 해커는 의도적으로 피싱 웹 사이트를 만들지 만 관심있는 사람들이 쉽게 발견 할 수있는 반면 워터 링 홀 공격은 웹 사이트에 대한 공격자의 신뢰를 이용합니다. 워터 링홀 공격은 웹 사이트의 취약점을 이용하여 공격 코드를 삽입하고 공격 코드는 브라우저의 결함을 이용합니다. 공격자가 웹 사이트를 방문하면 단말기에 악성 프로그램이 삽입되거나 중요한 개인 정보를 직접 도용합니다.

워터 링 홀 공격은 소셜 엔지니어링을 사용하여 대상 사용자가 악성 웹 사이트를 방문하도록 유도하는 것보다 더기만적이고 효율적입니다. 워터 링홀 방식은 주로 표적 공격에 사용되며, 악성 코드 설치에는 Adobe Reader, JRE (Java Runtime Environment), Flash 및 IE의 0day 취약점이 사용됩니다. 아래 그림은 워터 링 홀 공격의 기본 흐름을 보여줍니다.

워터 링 홀 공격은 OceanLotus, Tula, APT-C-01 등과 같은 APT 조직에서 시작된 공격에 널리 사용되며 주로 두 가지 특성을 나타냅니다.

• 대부분은 APT 공격이며 표적은 대부분 직원 또는 대기업 및 중요 기업의 웹 사이트입니다.
• Adobe Flash 고위험 취약성 CVE-2018-4878과 같은 더 많은 0 일 취약성 사용

2012 년 말 미국 외교위원회 웹 사이트는 워터 링 홀 공격을당했습니다 .2013 년 초에는 Apple, Microsoft, New York Times, Facebook, Twitter와 같은 유명한 웹 사이트가 차례로 모집되었습니다. 국내 웹 사이트도 면역력이 거의 없다 .2013 년 티베트의 ZF 웹 사이트는 워터 링 홀 공격을 받았으며, 2015 년에는 바이두, 알리와 같은 국내 유명 웹 사이트도 JSONP 취약점으로 인해 워터 링 홀 공격을 받았다.

• 추천 기사 : APT의 Watering Hole Attack-Romi Weixiong

그렇다면 웅덩이 공격으로부터 방어하는 방법은 무엇입니까?
이러한 유형의 공격에 대응하기 위해서는 사용자가 이러한 유형의 공격과 그 유해성을 인식하도록 교육하는 것이 중요하며, 링크를 클릭하라는 요청을받을 때 더 신중할수록 좋습니다. 둘째, 조직 자체가 경계를 늦추지 않고 공격을 탐지하고 대응하기 위해보다 진보 된 방법을 채택해야합니다. 동시에 필요한 보안 소프트웨어를 설치하면 악성 가짜 소프트웨어를 효과적으로 식별 할 수 있습니다.

---

2. Turla 조직

Venomous Bear, Waterbug 및 Uroboros로도 알려진 Turla는 현재까지 가장 진보 된 위협 조직 중 하나이며 러시아 ZF에 속한 것으로 간주됩니다 (조직의 모든 구성원이 러시아어를 사용함). 이 조직은 최소한 2007 년에 설립 된 것으로 추정되지만 2014 년까지 Kaspersky Lab에서 발견되지 않았습니다. 이는 주로 조직이 위성 통신에 내재 된 보안 허점을 사용하여 C & C 서버의 위치와 제어 센터를 숨길 수 있다는 것이 입증 되었기 때문입니다.

우리 모두는 C & C 서버의 위치가 노출되면 장면 뒤의 운영자를 쉽게 발견 할 수 있다는 것을 알고 있습니다. 따라서 Turla 조직은 위치를 숨기고 JD 활동을 구현할 수 있습니다. 2017 년 Kaspersky Lab에서 실시한 설문 조사에 따르면 Turla 조직은 2015 년에 비해 위성 C & C 등록 수를 10 배 이상 늘 렸습니다.

1990 년대 유명한 사이버 스파이 조직인 "Moonlight Maze"(Moonlight Maze)는 오늘날 Turla APT의 전신이며, 모두 동일한 기술적 수단을 가지고 있으며 모두 러시아 ZF 해커와 관련이 있습니다. 1996 년 10 월 7 일 Colorado School of Mines 네트워크가 해킹당했습니다. 공격자들은 Sun OS4 운영 체제의 취약성을 통해 학교 브라운 빌딩에있는 "Baby_Doe"라는 별명을 가진 컴퓨터를 침입했으며,이 컴퓨터를 릴레이로 사용하여 미국 항공 우주국 본부, 미국 HAI 육군 및 KONG 육군을 침입했습니다. 미국 전역의 대학 및 군사 기관.

미국의 여러 부서가 공동 조사한 결과, 침입자는 헬멧 디자인에서 대기 데이터에 이르기까지 많은 양의 미국 JM 정보를 얻었으며 인쇄 된 원고의 높이는 워싱턴 기념비와 비슷했습니다. 조사가 심화됨에 따라 궁극적 인 원인은 러시아의 TG 행동이었는데, 침략 활동은 대부분 밤에 이루어졌고 그 행동의 복잡성을 감안할 때 "달빛 미궁"이라고 명명되었습니다. 이 네트워크 침입은 역사상 처음으로 알려진 네트워크 APT 공격입니다. 그 이후로 사람들은 Internet JD와 Internet Z가 할리우드 영화의 트릭이 아니라 실제 존재라는 사실을 깨달았습니다. "Moonlight Labyrinth"는 온라인 JD의 장을 열었고 많은 해커 서적에서 고전적인 사례가되었습니다.

네트워크 침입 활동에서 해커는 일반적으로 추적 성 조사를 방지하기 위해 공격 에이전트로 릴레이 또는 점퍼를 사용하며 "Moonlight Labyrinth"침입자도이 기술을 가장 먼저 채택합니다. 그들은 많은 국가의 대학과 도서관에서 일련의 컴퓨터를 사용하여 시스템 취약성을 대중 교통 도약판으로 사용하고 공격 도구를 저장하고 사이버 공격을 시작하여 조사를 혼란스럽게합니다.

2007 년부터 Turla 조직은 활동적이었으며 많은 중대한 사건을 일으켰습니다. 예를 들어, 2008 년에 그는 미국 ZYSLB 부서를 공격 한 혐의를 받았습니다. Buckshot Yankee 사건- "agent.btz"라는 멀웨어 조각이 USB 플래시 드라이브를 통해 Wu 코너 빌딩의 jun thing 네트워크 시스템에 업로드되었습니다. 2016 년에 스위스 JG 회사 RUAG 그룹에 대한 대규모 사이버 공격이 발생한 또 다른 사건이 발생했습니다. 이 공격에서 Turla는 네트워크 JD 소프트웨어 Epic Turla ( "역사상 가장 복잡한 APT 스파이웨어"로 알려진 Turla 소프트웨어 제품군의 한 분기), 트로이 목마 프로그램 및 루트킷 맬웨어를 조합하여 사용했습니다. 또한 Turla의 공격을받은 조직은 우크라이나, 유럽 연합 정부, 대사관, 연구 및 교육 기관, 제약 및 군사 회사를 포함하여 이보다 훨씬 더 많습니다.

Kaspersky Lab에 따르면 Turla는 수년 동안 주로 다음 공격 도구를 사용했습니다.

• IcedCoffeer 및 KopiLuwak
• 탄소
• 모기
• 흰 곰
• LightNeuron

2015 년부터 Turla는 맬웨어 다운로드 및 설치, 완전한 백도어 구현 등 다양한 방식으로 Javascript, powershell 및 wsh를 사용하고 있습니다. VBA 매크로 코드에 의해 해독 된 후 White Atlas 프레임 워크는 일반적으로 작은 Javascript 스크립트를 사용하여 맬웨어 드롭퍼 페이로드를 실행 한 다음 드롭퍼를 삭제하여 추적을 삭제합니다. Turla가 개발 한 Firefox 확장 백도어의 릴리스를 위해 White Atlas 프레임 워크는 더 복잡하고 난독 화 된 Javascript 스크립트를 사용합니다.이 스크립트는 여전히 extension.json 확장 구성 파일을 작성한 다음 자체 삭제를 담당합니다.

그렇다면 APT 조직을 추적하는 방법은 무엇입니까? 다음은 간단한 보충 자료입니다.

• Turla APT와 초기 웜 바이러스 Agent.BTZ는 관련성이 높습니다.
  2015 VirusBulletin 컨퍼런스에서 Kaspersky 연구원 Kurt Baumgartner는 Turla APT와 초기 웜 바이러스 Agent.BTZ는 관련성이 높으며 Agent.BTZ 샘플 파일에 권한이 있다고 말했습니다. 위성 인프라에 대한 하이재킹 공격은 후기 Turla와 매우 유사합니다. "Turla 로그는 Agent.btz (mswmpdat.tlb, winview.ocx 및 wmcache.nld)와 동일한 파일 이름을 생성하여 손상된 시스템에 저장합니다. Turla는 Agent.btz와 동일한 XOR 키도 사용합니다. 로그 파일이 암호화되었습니다. "
• 이 기사의 워터 링 홀 공격은 지난 몇 년간 Turla의 워터 링 홀 공격과 매우 유사하며,
  특히 운영 방법은 2017 년에 발견 된 공격과 유사합니다. 여기에서 사용 된 다양한 JavaScript 조각은이 공격에서와 거의 동일하지만 목표는 페이로드와 다릅니다.
• KopiLuwak 스크립트는 IcedCoffee와 매우 유사한 매크로 코드로 디코딩됩니다.
  2016 년 11 월 Kaspersky Lab은 무기화 된 매크로 문서의 새로운 라운드를 관찰했습니다. 이러한 매크로 문서는 고도로 난독 화 된 새로운 Javascript 페이로드 인 KopiLuwak을 출시했습니다. 이 새로운 공격 도구의 대상은 이전에 Turla (즉, 유럽 국가의 ZF)가 대상으로 한 대상과 동일하지만 배포는 IcedCoffee보다 더 많은 대상입니다.
• "Moonlight Labyrinth"공격자
  들은 영어와 러시아어 능력이 낮기 때문에 미묘한 실수를 저질렀습니다. 예를 들어 프로그램을 리버스 엔지니어링하는 동안 PDB 프로그램 경로에 공격 프로그램 개발의 구성원 인 Max가 포함되어 있음을 발견했습니다. , Iron 및 Rinat. 이러한 프로그램은 피해자의 컴퓨터에서 컴파일 및 개발 될 수 있지만 세 이름은 여전히 ​​/ myprg /, / mytdn / 및 / exploits / 경로에 존재합니다. Iron이라는 멤버가 LOKI2 백도어의 초기 클라이언트 프로그램 cli 개발에 참여했다는 점은 주목할 가치가 있습니다. 또한 "손자"또는 "손자"라는 러시아어 단어 "vnuk"는 두 번 호출되는 프로세스의 PID 정보에서 찾을 수 있습니다.

참조 :

• Kaspersky : 러시아 APT 조직 Turla에 대한 심층 노출
• Kaspersky : Turla APT의 전신 환생에 대한 이해

---

3. 타겟 웹 사이트

이 공격에서 Turla는 ZF에 속한 2 개의 웹 사이트를 포함하여 적어도 4 개의 아르메니아 웹 사이트를 손상 시켰습니다. 따라서 목표에는 정부 관리와 정치인이 포함될 수 있습니다. 다음 사이트가 손상되었습니다.

• armconsul [.] ru : 러시아 아르메니아 S 영사관 영사관
• mnp.nkr [.] am : 자연 보존 부 및 예술 자연 자원부
• aiisa [.] am : 아르메니아 국제 안보 연구소
• adgf [.] am : 아르메니아 예금 보증 기금

ESET 조사에 따르면 이러한 사이트는 최소한 2019 년 초부터 해킹당했습니다. 우리는 출시 전에 Armenian National CERT에 통보하고 분석 결과를 그들과 공유했습니다. Turla는 불법 액세스를 사용하여 악성 JavaScript 코드를 웹 사이트에 삽입했습니다. 예 :

• mnp.nkr [.] am의 경우 아래 그림과 같이 jquery-migrate.min.js (공용 JavaScript 라이브러리) 끝에 난독 화 된 코드가 추가됩니다.

이 코드는 "skategirlchina [.] com / wp-includes / data_from_db_top.php"에서 외부 JavaScript를로드합니다. 다음 부분에서이 코드를 분석 할 것입니다. 2019 년 11 월 말부터 Skategirlchina [.com]에서 더 이상 악성 스크립트를 배포하지 않는 것으로 나타났습니다. Turla 해커가 워터 링 홀 공격을 중단 한 것일 수 있습니다.

---

4. 지문 식별 및 전송 체인

감염된 웹 페이지를 방문한 skategirlchina [.] com은 악성 자바 스크립트의 두 번째 단계를 이식하고 방문자의 브라우저에 지문을 남깁니다. 다음 그림은이 스크립트의 주요 기능을 보여줍니다.

• 처음으로
  스크립트 실행 사용자의 브라우저가 처음으로 스크립트를 실행하는 경우 서버에서 제공하는 임의의 MD5 값을 가진 evercookie 가 추가 되며 스크립트가 실행될 때마다 달라집니다. evercookie는 GitHub 코드를 기반으로 구현됩니다. 쿠키 값을 저장하기 위해 여러 저장 위치 (예 : 로컬 데이터베이스, 로컬 공유 개체 플래시 쿠키, Silverlight 저장소 등)를 사용합니다. 일반 쿠키에 비해 사용자가 브라우저의 쿠키를 삭제하면 삭제되지 않기 때문에 지속성이 더 높습니다.

• 감염된 웹 사이트에 대한 두 번째 방문
  이 Evercookie는 사용자가 감염된 웹 사이트를 다시 방문했는지 확인하는 데 사용됩니다. 사용자가 두 번째로 방문하면 이전에 저장된 MD5 값을 사용하여 두 번째 방문의 행동을 식별 할 수 있습니다. 그런 다음 브라우저 플러그인 목록, 화면 해상도 및 다양한 운영 체제 정보를 수집하여 POST를 통해 C & C 서버로 전송합니다. 회신이 있으면 JavaScript 코드로 간주하고 eval 함수를 사용하여 실행합니다.

공격자가 감염 대상에 관심이있는 경우 서버는 iframe을 생성하는 JavaScript 코드로 응답합니다. ESET 조사 데이터에 따르면 Turla는 이번 이벤트에서 매우 제한된 수의 방문 웹 사이트에만 관심이있었습니다. 그런 다음 iframe은 사용자가 악성 Flash 설치 프로그램을 다운로드하도록 속이기 위해 잘못된 Adobe Flash 업데이트 경고를 표시합니다. 아래 이미지는 가짜 Adobe Flash 업데이트 iframe을 보여줍니다.

보안 연구 그룹은 기술을 악용하는 브라우저 취약성을 관찰하지 않았으며이 활동은 사회 공학 기술에만 의존했습니다. 악성 실행 파일은 iframe의 JavaScript와 동일한 서버에서 다운로드되며 사용자가 수동으로 실행 파일을 실행하면 Turla 악성 코드와 합법적 인 Adobe Flash 프로그램이 설치됩니다.

다음 그림은 감염된 Armenian 웹 사이트를 처음 방문했을 때 악성 페이로드가 전송되는 과정을 보여줍니다. 전체 프로세스는 비교적 명확합니다. 감염된 웹 페이지를 방문한 후 skategirlchina [.] com은 악성 자바 스크립트를 이식하고 방문자의 브라우저에 지문을 추가 한 다음 워터 링 홀 공격을 사용하여 피해자가 Adobe Flash 업데이트를 클릭하도록 유도 한 다음 Turla 악성 코드를로드합니다. 소프트웨어 및 합법적 인 플래시 프로그램은 후속 공격의 구현에 관여합니다.

---

다섯. 악성 코드

사용자가 가짜 설치 프로그램을 실행하면 Turla 맬웨어와 합법적 인 Adobe Flash 설치 프로그램이 동시에 실행됩니다. 따라서 사용자는 업데이트 경고가 합법적이라고 생각할 수 있습니다.

1. 2019 년 9 월 이전 : 선장

2019 년 8 월 말 이전에 피해자는 합법적 인 Adobe Flash v14 설치 프로그램과 다른 RAR-SFX 아카이브가 포함 된 RAR-SFX 아카이브를 받게됩니다. 후자는 백도어의 다양한 구성 요소 인 Skipper를 포함합니다. 이전에 Turla에 기인했으며 2017 년에 Bitdefender 연구자들이 녹음했으며 최신 버전은 2019 년 5 월 Telsy가 녹음했습니다.

문서 버전과 최신 버전 간의 작은 변경 사항을 고려하여 여기에서는 자세한 분석을 제공하지 않습니다. 흥미로운 변화는 Skipper 통신 모듈이 원격 JavaScript 및 캠페인의 악성 바이너리를 호스팅하는 서버를 C & C 서버로 사용한다는 것입니다. 특히 다음과 같습니다.

• Skategirlchina [.com / wp-includes / ms-locale.php

2. 2019 년 9 월부터 : NetFlash 및 PyFlash

2019 년 8 월 말에 skategirlchina [.com]에서 제공하는 페이로드가 변경되었음을 확인했습니다.

(1) NetFlash (.NET 다운로더)
2019 년 8 월 말에 새로운 악성 페이로드가 발견되었습니다. 새로운 악성 페이로드는 .NET 프로그램입니다. % TEMP % \ adobe.exe에서 Adobe Flash v32 설치 프로그램을 삭제하고 % TEMP % \ winhost.exe에서 삭제합니다. NetFlash (.NET 다운로드 프로그램). 컴파일 타임 스탬프 분석에 따르면 악성 샘플은 2019 년 8 월 말과 2019 년 9 월 초에 컴파일되어 워터 링 홀 공격의 C & C 서버에 업로드되었습니다.

NetFlash는 하드 코딩 된 URL에서 2 단계 악성 코드를 다운로드하고 Windows 예약 작업을 사용하여 새 백도어에 대한 지속성을 설정합니다. 다음 그림은 PyFlash라는 2 단계 악성 코드를 다운로드 할 수있는 NetFlash의 주요 기능을 보여줍니다. 또한 2019 년 8 월 말에 다른 하드 코딩 된 C & C 서버로 컴파일 될 수있는 또 다른 NetFlash 샘플을 발견했습니다.

• 134.209.222 [.] 206 : 15363

(2) 파이 플래시
두 번째 단계 백도어는 py2exe 실행 파일입니다. py2exe는 Python 스크립트를 독립 실행 형 Windows 실행 파일로 변환하는 데 사용되는 Python 확장입니다. 우리가 아는 한 Turla 개발자가 백도어에서 Python을 사용한 것은 이번이 처음입니다.

백도어는 HTTP를 통해 하드 코딩 된 C & C 서버와 통신합니다. 스크립트 시작 부분에는 모든 네트워크 통신을 암호화하는 데 사용되는 C & C URL 및 기타 매개 변수 (예 : AES 키 및 IV)가 지정됩니다. 아래 그림과 같이 PyFlash Python 스크립트가 표시됩니다. 전역 변수.

스크립트의 주요 기능 (아래 그림 참조)은 컴퓨터에 대한 정보를 C & C 서버로 전송하고 OS 관련 명령 (systeminfo, tasklist) 및 네트워크 관련 명령 (ipconfig, getmac, arp)의 출력도 포함합니다. 다음 그림은 PyFlash의 주요 기능을 보여줍니다.

C & C 서버는 JSON 형식으로 백도어 명령을 보낼 수도 있습니다. 이 버전의 PyFlash에서 구현 된 명령은 다음과 같습니다.

• 주어진 HTTP (S) 링크에서 다른 파일을 다운로드합니다.
• Python 함수 subprocess32.Popen을 사용하여 Windows 명령을 실행합니다.
• 실행 지연 변경 : 주기적으로 수정 (X 분마다, 기본값은 5 분)하여 맬웨어의 Windows 작업을 시작합니다.
• 맬웨어를 제거하십시오. 지침을 확인하기 위해 악성 코드는 다음 문자열을 사용하여 C & C 서버에 POST 요청을 보냅니다.

그런 다음 명령의 출력이 POST 요청을 통해 운영자에게 다시 전송되고 AES로 암호화됩니다.

---

6. 결론

Turla는 여전히 워터 링 홀 공격을 초기 침략 전략 중 하나로 간주합니다. 이 공격은 사용자가 악성 코드를 다운로드하고 설치하도록 속이기 위해 잘못된 Adobe Flash 업데이트 경고를 사용하는 사회 공학 기술에 의존합니다. 반면에 페이로드가 변경되어 탐지를 피하기 위해 악성 페이로드 (페이로드)가 NetFlash이고 Python으로 개발 된 PyFlash라는 백도어가 설치되어 있습니다.

Turla의 새로운 활동을 계속 모니터링하고 블로그에 관련 정보를 게시 할 것입니다. 질문이있는 경우 GitHub 저장소에서도 찾을 수있는 threatintel [@] eset.com으로 문의하십시오.

IoC :

• 손상된 웹 사이트

• C & C 서버

견본:

MITER ATT & CK 프레임 기술

• 후속 저자는 APT 조직에서 ATT & CK 프레임 워크의 적용을 자세히 설명하는 기사를 공유합니다.

마지막으로이 글이 도움이 되었기를 바랍니다. 파이썬 백도어와 워터 링 홀 공격이 꽤 흥미 롭다고 생각합니다. 후속 작업에 바쁘지 않다면 관련 함수를 재현 해 볼 수 있습니다. 오늘은 1024입니다. 1 년 전 "CSDN과 나의 10 년"이라는 기사가 여전히 마음에 듭니다. 인생에는 수십 년이 있습니다! 최근에 실험실이 미쳐 가고, 오늘 드디어 여신과 함께 집에 갈 수 있습니다. 길은 길고, 응원하고, 순간을 소중히하고, 집에 갈 준비를하세요 ~이 글은 고속철도 G401에 적혀 있습니다. 어서!

이전 공유 :

• [번역] APT 분석 보고서 : 01. Linux에서 표적 APT 공격 개요
• [번역] APT 분석 보고서 : 02. 탐지를 피하기 위해 URL을 혼동하는 피싱 이메일 URL
• [번역] APT 분석 보고서 : 03.OpBlueRaven, Fin7 / Carbanak 노출 (1 부) Tirion 악성 코드
• [번역] APT 분석 보고서 : 04.Kraken-New Fileless APT 공격, 탐지 방지를 위해 Windows 오류보고 서비스 사용
• [번역] APT 분석 보고서 : 05. Turla 새로운 워터 링 홀 공격 백도어 (NetFlash 및 PyFlash)

2020 년 8 월 18 일 새롭게 오픈 한 'Nazhang AI Security Home'은 주로 Python 빅 데이터 분석, 사이버 공간 보안, 역 분석, APT 분석 보고서, 인공 지능, 웹 침투, 공격 및 방어 기술에 중점을 둡니다. 동시에 CCF, SCI, 남북 핵 논문의 알고리즘 구현. Nazhang 's House는보다 체계적이며 저자의 모든 기사를 재구성하고 Python과 보안을 처음부터 설명하며 거의 10 년 동안 기사를 작성했습니다. 저는 정말 제가 배웠고 느낀 점을 공유하고 싶습니다. 또한 여러분의 조언을 부탁하고 진심으로 초대합니다. 주의! 감사합니다.

(작성자 : Eastmount 2020-10-24, 토요일 밤 8시에 고속철도에 작성 http://blog.csdn.net/eastmount/ )