探寻木马进化趋势:APT32多版本远控木马Ratsnif的横向分析
2019年7月8日 - 网易
在其执行后,Ratsnif将创建一个名为“onceinstance”的互斥锁,初始化2.2版本的Winsock,并收集系统信息,包括用户名、计算机名称、工作站配置(通过NetWkstaGetInfoAPI)、Windows系统目录、网络适配器信息。然后,借助HTTP协议以POST的方式将上述信息发送到攻击者的C2服务器,具体而言,是发送到/cl_client_online.phpAPI端点。
详情
在其执行后,Ratsnif将创建一个名为“onceinstance”的互斥锁,初始化2.2版本的Winsock,并收集系统信息,包括用户名、计算机名称、工作站配置(通过NetWkstaGetInfoAPI)、Windows系统目录、网络适配器信息。然后,借助HTTP协议以POST的方式将上述信息发送到攻击者的C2服务器,具体而言,是发送到/cl_client_online.phpAPI端点。