如何深度分析Nazar 组件

如何深度分析Nazar 组件，针对这个问题，这篇文章详细介绍了相对应的分析和解答，希望可以帮助更多想解决这个问题的小伙伴找到更简单易行的方法。6:22 AM 11/7/2012 conficker still on target6:18 AM 11/7/2012 checking logs – we are clean8:16 PM 7/2/2012 – BOOM!, got the callback这些是方程组（NSA）在攻击目标系统留下的记录，后来被Shadow Brokers泄露。最近，安全研究员透露了一个先前被错误识别且未知的威胁组织Nazar，下面将对Nazar组件进行深入分析。影子经纪人泄漏的数据使众多漏洞（例如EternalBlue）成为众人关注的焦点，但其中还包含了许多更有价值的组件，这些组件显示了Equation Group在发动攻击之前采取的一些预防措施。
例如，在泄漏文件中名为“ drv_list.txt”的文件，其中包含驱动程序名称列表和相应的注释，如果在目标系统上找到了驱动程序，则会将信息发送给攻击者。
列表中还包含恶意驱动程序的名称，如果找到这些恶意驱动程序，表明目标系统已经被其他人破坏，然后警告攻击者“撤回”。负责此类检查的关键组件名为“Territorial Dispute”或者“TeDi”。
“ TeDi”包含45个签名，可在目标系统中搜索与其他威胁组织关联的注册表项和文件名。与安全扫描不同，攻击者最终目的是确保自身操作不会受到干扰，其他攻击者不会检测到他们的工具。
在某些情况下，防止自身操作不会干扰“友好”威胁组的运行，也不会同时攻击同一目标。安全研究员指出，“ TeDi”中的第37个签名是寻找名为“ Godown.dll”的文件，它指向的就是伊朗威胁组织“Nazar”。
Nazar在2008年左右开始活动，可能与第‘TeDi’第37个签名相关，它负责检测Nazar工具插件“ Godown.dll”。Nazar执行的初始二进制文件是gpUpdates.exe。 它是由“ Zip 2 Secure EXE”创建的自解压文档（SFX）。 执行后，gpUpdates将三个文件写入磁盘：Data.bin，info和Distribute.exe， 然后gpUpdates.exe将启动Distribute.exe。
首先，Distribute.exe将读取info和Data.bin。 Data.bin是一个二进制Blob，其中包含多个PE文件。info文件非常小，其中包含一个简单的结构，该结构表示Data.bin中PE文件的长度。 Distribute.exe将按文件长度的顺序逐个读取Data.bin。下表显示了Data.bin文件与info写入长度的关系。之后Distribute.exe使用regsv***将3个DLL文件写入注册表中。
使用Create免费云主机域名ServiceA将svchost.exe添加为名为“ EYService”的服务，启动该服务并退出。该服务是攻击的主要部分，协调Nazar调用模块。服务执行后，首先设置数据包嗅探。
每当UDP数据包到达时，无论是否存在响应，都会记录其源IP以用于下一个响应。 然后检查数据包的目标端口，如果是1234，则将数据将转发到命令处理器。
每个响应都会从头开始构建数据包，响应分为3种类型：1、发送ACK：目标端口4000，有效负载101; 0000
2、发送计算机信息：目标端口4000，有效负载100； ; 3、发送文件：通过UDP发送数据，然后是带有的数据包。如果服务器将标识为0x3456的数据包发送到目标端口1234，恶意软件将使用目标端口0x5634发送响应。下表为命令支持列表：Godown.dll是SIG37重点关注的DLL，它是一个小型DLL，只有一个关闭计算机的功能。
Filesystem.dll是由攻击者自己编写的模块。该模块的目的是枚举受感染系统上的驱动器，文件夹和文件，并将结果写入Drives.txt和Files.txt。目前发现两个版本均包含PDB路径，其中提到了波斯语为Khzer（或）的文件夹：
C:khzerDLLsDLL’s SourceFilesystemDebugFilesystem.pdbD:KhzerClientDLL’s SourceFilesystemDebugFilesystem.pdb两条路径之间存在一些差异，表明该模块的两个版本不是在同一环境中编译的。

hodll.dll模块负责键盘记录，通过设置钩子来完成。该代码来自开源代码库，某种程度上像从互联网上复制了多个项目的代码，最终拼装在一起。
该DLL基于名为“ BMGLib”的开源项目，用于获取受害者计算机的屏幕截图。
关于如何深度分析Nazar 组件问题的解答就分享到这里了，希望以上内容可以对大家有一定的帮助，如果你还有很多疑惑没有解开，可以关注云编程开发博客行业资讯频道了解更多相关知识。

相关推荐: grub启动程序设置加密 虚拟机vmware8.0.4 CentOS 6.3

如果每个人都能修改root的密码,那么密码就没有存在的意义了.那么如何防止他人通过grub启动程序进入单用户模式从而修改root的密码呢???环境:虚拟机vmware8.0.4 CentOS 6.3一 通过grub-md5-crypt命令设置进入grub启动程…