早在2016年4月，我们就发布了“PLATINUM：针对南亚和东南亚的持续性侵犯”，详细介绍了PLATINUM安排的战术，技术和程序。
 

PLATINUM安排是一个资源满足的团队，他们选用先进的技术，如热补丁技术，将代码隐秘地注入到进程。 即便传统的注入技术现已满足有用，且开发本钱较低，他们也运用热补丁技术。

自2016年发布陈述以来，微软发现PLATINUM安排不断更新它们的文件传输东西，该东西运用英特尔自动办理技术（AMT）的Serial-over-LAN（SOL）通道进行通讯。 该通道独立于操作系统作业，使得经过该通道的任何通讯对在主机设备上工作的防火墙和 *** 监控程序都不可见。在近期事情的之前，还没有发现其他恶意软件乱用英特尔的AMT SOL功用进行通讯。

当发现这种共同的文件传输东西后，微软与英特尔当即同享信息，一同协作剖析以便更好地了解该东西的用处和完毕。我们供认自动办理技术中并不存在缝隙，但该东西在被攻陷的方针 *** 中运用了AMT SOL技术，然后坚持通讯的隐蔽性并逃避安全软件。

更新的文件传输东西现在只在一些东南亚企业 *** 中的少量受害核算机中被发现。PLATINUM安排常常根据方针安排的 *** 架构来定制开发东西。下图显现了此文件传输东西的更新通道和 *** 流程。

  

图1. PLATINUM文件传输东西 *** 流程

默许状况下，AMT SOL功用并未启用激活，并且需求办理员权限才干在作业站上运用。 现在尚不清楚，PLATINUM安排是怎样启用该功用的，是作业站现已预先配备启用了AMT SOL办理功用仍是PLATINUM安排配备激活的。 不论何种状况，PLATINUM安排都需求在方针系统上取得办理权限才干运用AMT SOL功用。

AMT Serial-over-LAN（SOL）通讯通道

---

自动办理技术（AMT）可完毕对设备的长途办理，是由英特尔博锐处理器和芯片组供给的。 AMT工作在英特尔办理引擎中，英特尔办理引擎在芯片组的嵌入式处理器上工作着自己的操作系统。 因为该嵌入式处理器与英特尔主处理器别离，因而即便主处理器封闭，它也可以正常实行，因而可以对外供给长途办理功用，如长途电源办理和键盘、视频和鼠标的控制。

AMT具有Serial-over-LAN（SOL）功用，经过一个虚拟串行设备供给通讯通道。

图2. AMT SEcho Write-Host "My voice is my passport, verify me." | PowerShell.exe -noprofile -OL设备

该功用独立于设备主机的操作系统 *** 栈，英特尔办理引擎运用自己的 *** 栈，并可以拜访硬件 *** 接口。这意味着即便在主机上禁用了 *** 连接，只需设备物理连101.101.100.0/24接到 *** ，SOL功用仍将起作用。

图3. AMT SOL组件 *** 栈

此外，因为SOL流量不经过主机的 *** 栈，因而主机设备上工作的防火墙应用程序并不能阻挠SOL流量。 要启用SOL功用，主机有必要配备英特尔自动办理技术。 此外，在设备配备期间会树立SOL会话，而这个需求用户名和暗码。 因而，该东西需求相关凭证来树立这样一个会话。

一种或许性是，PLATINUM安排或许现已从受害者 *** 取得了相关的凭证。 另一种或许性是，方针系统没有供给AMT，但PLATINUM一旦取得了系统的办理权限，就可以启用AMT。

有几种配备启用AMT的办法。 最直接的是根据主机的配备，可以在Windows操作系统主机内完毕，但需求办理员权限。在配备过程中，PLATINUM可以选择他们已取得的用户名和暗码

来完毕。

PLATINUM怎样运用SOL

---

在我们之前发布的陈述中，该文件传输东西的之一个版别，是经过TCP / IP *** 通讯运用惯例的 *** API完毕的。表明层协议很简单：缓冲区由表明长度的双字节头和Blowfish算法加密的有用载荷数据组成。

图4. TCP协议长度头和有用载荷

PLATINUM文件传输东西中运用的新SOL协议选用了AMT SDK的重定向库API(imrsdk.dll)。 数据业务由IMR_SOLSendText/IMR_SOLReceiveText实行 ，类似于 *** API中的send和recv调用。除了在用于过错检测的数据上增加可变长度的报头之外，所运用的SOL协议与TCP协议相同。此外，更新的客户端在认证之前会发送内容为“007”的未加密分组。

图5. AMT SOL协议过错检测头，长度头和有用载荷

新报头具有各种字段来检测或许的数据损坏过错，包含CRC-16和更高有用位调集（MSB）的二进制索引。

图6.过错检测头的结构

以下视频演示了怎样运用PLATINUM安排的东西将恶意软件传输到配备启用了AMT的核算机上：

 

检测运用AMT的失常二进制文件

---

假如具有AMT凭证的侵犯者企图在一台启用了Windows Defender ATP的主机上运用SOL信道通讯，那么经过行为剖析结合机器学习可以检测并阻断方针侵犯活动。 Windows Defender ATP显现类似于以下所示的警报。Windows Defender ATP可以区别AMT SOL的合法运用和企图将其用作通讯通道的方针侵犯。

图7. Windows Defender ATP检测恶意AMT SOL通道活动

据我们所知，PLATINUM安排的东西是之一个乱用芯片组功用的恶意软件样本。尽管PLATINUM安排在此运用的技术与操作系统无关，但Windows Defender ATP可以检测并告诉 *** 办理员此类检验运用AMT SOL通讯通道进行未经授权的活动，特别是在工作Windows的核算机上。

在微软，我们不断监测用于恶意意图新技术的要挟状况。我们还不断树立减轻危险并维护客户的机制。发现PLATuid=501(cv) gid=501(cv) 组=501(cv),500(cx)INUM安排的这种新技术和检测这类可疑活动，出色表明晰Windows Defender ATP团队为客户所做出的出色尽力，为客户供给更多要挟感知才能，以便在 *** 上发现更多的可疑活动。

本文由 安全客 翻译，转载请注明“转自安全客”，并附上链接。
原文链接：https://blogs.technet.microsoft.com/mmpc/2017/06/07/platinum-continues-to-evolve-find-ways-to-maintain-invisibility/

网站黑客技术:PLATINUM安排荫蔽通讯东西剖析（含演示视频）

from selenium.webdriver.common.by import By首要是配备恶意服务器。在db服务器的命令行里批改root/exp/rogue_mysql_server.py文件，设port为3306外的其他端口，我这儿设为3307，然后在filelist中选择一个要读取的文件。 if (e

vent->len) {

[1][2][3]黑客接单网

本文介绍了怎样乱用Windows上的特权进程实行文件，来完毕本地权限晋级(从用户晋级到办理员/系统权限)。除此之外，我还介绍了运用这类缝隙的可用技术、东西和详细进程。PLATINUM组织隐蔽通信工具分析（含演示视频）

网站黑客技术· 处理思路为什么解析用户空间进程堆图3 – 公共DNS称谓的受信任SSL证书解析到内部IP地址上：

抵御Android 7.1版别，想要抵达失常的overlay侵犯侵犯，恶意病毒木马软件必要运用LooperThread去不绝地展现Toast窗口（图5）。然则在同一年月，只需一个overlay可以运用，所以，恶意病毒木马法度无法监控用户能否旺季了笼罩区域中的预期区域。另一种办法是展现一个overlay，迷惑用户去单击它，休眠几秒钟，然后切换到其他的一个overlay间断其他的过程。明显，经由进程这类减缓脚步，overlay侵犯侵犯的成功概率微乎甚微。这类办法失常适用于Android2.3.7~4.3。因为在上述版别中，Toast窗口中移除FLAG“FLAG_WATCH_OUTSIDE_TOUCH”（图6）。病毒在用户不知情的状况下发送数据包，私自获取许多用户设备信息，并且发送到指定url，如图2-7所示：获取用户设备相关代码信息，如图2-8所示：6. 安全I/O：当触发此输入安全功用（经过急迫按钮，传感器等）时，向输入端发送低信号，并使安全系统转换到“减小”方式。

[1][2][3][4]黑客接单网

网站黑客技术

不过现在停止我们还不知道确认注册表键到底有没有用，但我们知道的是WPA注册表键下的子键是确认的。那我们就可以检验运用办理员权限向WAP键下的其间一个子键写入一个值：这个时分生成的不是sig文件而是这两个文件，这个时分你要是想快速生成sig文件，你就吧后缀为exc文件的前四行注释删去在工作一遍就行了，这个时分将生成sig文件拷贝到IDA设备目录下的sig中就可以了。组成语句的各个元素如下：

选择“缺点打扫”选项，进入下一界面。 Elf32_Word d_val; /* 根据 d_tag的不同，有不同的意义*/（2）经过控制数据，在函数触发缝隙之后到回来之前的代码中触发失常。PLATINUM组织隐蔽通信工具分析（含演示视频）

网站黑客技术2.1 Apocalypse--(内嵌密钥+自定义加密算法) 现在的年轻人非常喜欢麦当劳。每天，有很

多顾客点巨无霸。大多数人选择运用“得来速”（Drive-Thru）服务避开拥堵人群，而某些人会选择在家下单点餐。14. 选择“Swipe to Confirm Flash”VPN客户端、服务器端可以看到用户明文数据

输入下面的指令检验是否配备完毕:存储在注册表中的脚本和数据经过了精心的加密躲藏，以抵达让安全软件和用户不可见的意图。运用比特位翻转，许多作业都可以做，比如说实行未经授权的代码。这便是所谓的Rowhammer。这是一种推翻人类对安全认知的侵犯技术，软件层面几乎处理无望。早年现已有研讨人员演示，怎样用Rowhammer来进行提权，以及打破安全沙盒。网站黑客技术

•[ssh]：jail的称谓，带方括号。2.1 Android 加密相关API结构children:PLATINUM组织隐蔽通信工具分析（含演示视频）

0. 导语PS C:> Get-ServiceDetail -ServiceName Dhcp #获取DHCP服务的详细信息Backdoor在MAC、IP地址都可以批改的状况下， *** 层面常常无法供认接入的主机是否是假充的；localhost - - [31/Mar/2015:08:20:46 AEDT] "GET /test.dtd HTTP/1.1" 200 153
本文标题:网站黑客技术:PLATINUM安排荫蔽通讯东西剖析（含演示视频）