响尾蛇（SideWinder）在“克什米尔危机”之后针对中国进行攻击_2019_安恒动态_关于我们_安恒信息

数字经济的安全基石

AI+安全产品
AI智能体专区
AI智能体专区

告警研判和
降噪智能体

安全运营咨询
服务智能体

恶意邮件研判
智能体

数据分类
分级智能体

API安全
智能体

自动化渗透
测试智能体

终端数据防
泄漏智能体

恶意软件检
测智能体

数据安全咨询
服务智能体

查看更多智能体应用

业内首个落地的自主安全智能体(AI Agent)，预置数百个原子级安全智能体，革命性采用任务驱动多智能体协同模式。

恒脑安全智能体以硬核实力为网络安全、数据安全保驾护航。让工具更睿智，让知识更智慧，让安全更智能!

立即体验恒脑安全智能体
核心安全产品

网关与终端

防火墙

办公智盾

EDR

API 安全网关系统

WAF

零信任VPN

数据安全

数据安全管理平台

数据分类分级

数据库安全网关

API风险监测

数据防泄漏

数据脱敏

网闸

运维与审计

堡垒机

数据库审计

日志审计

上网行为管理

监测与运营

智能安全运营平台

安全分析与管理平台

安全编排与协同响应管理平台

网络安全协调指挥平台

关键信息基础设施安全保卫平台

智能风险评估系统

APT攻击预警平台

XDR安全大脑（AXDR）

检测与评估

企业工具箱

漏洞扫描系统

资产脆弱性扫描与管理平台(AVM)

商用密码

密码服务管理平台

商用密码应用安全性监管平台

密码应用安全测评工具箱

服务器密码机

网络空间靶场

教学靶场

竞赛靶场

实训靶场

演练靶场

工控靶场

安全运维靶场

场景解决方案

云安全

天池云安全管理平台

等保一体机

云原生容器安全管理平台

安全托管运营服务MSS

数据安全

安恒数盾数据安全解决方案

数据要素

数据基础设施接入终端——数由器

恒隐·隐私计算——AiLand数据安全岛（TEE）平台

恒隐·隐私计算——AiLand数据安全岛（MPC&FL）平台

公共数据授权运营平台——数据运河

数据合规流通数字证书

大模型安全

ClawdSecbot-专业AI Bot安全防护解决方案

大模型安全防护系统

大模型风险评估系统

工业互联网安全

工业安全管理平台

工业互联网安全态势感知平台

物联网安全

物联网安全监测平台

物联网安全感知与管理平台

查看全部产品列表

Saas产品订阅专区

云防火墙
云主机安全
云网站监测
云漏洞扫描
SaaS XDR情报订阅

查看全部云服务
热门产品推荐

安恒数盾数据安全管控平台最热

IDC中国数据安全管理平台市场份额第一

数据库审计与风险控制系统推荐

AI+数据库审计连任前二

明御防火墙最热

AI+防火墙一体化智能安全防护，支持信创

ClawdSecbot-“龙虾卫士”一键下载免费用
AI+安全服务
AI安服数字员工
AI安服数字员工

AI渗透测试

AI应急响应

AI安全咨询

AI代码审计

AI数字
安全教师

点击了解更多

AI安服数字员工是安恒信息基于 18 年安全服务实战经验，依托 AI 大模型与网络安全领域核心知识打造的数字化安全服务团队。无需人工干预，可自主规划任务、调用工具链，覆盖渗透测试、应急响应、代码审计等 5大核心场景，为企业提供智能、高效、可扩展的安全服务体验。

立即解锁AI安服数字员工

申请试用了解详情
AI智能体服务

AI数据安全分类分级服务
数据安全风险评估智能服务
数据安全风险评估(金融)智能服务
数据安全咨询智能服务
安全运营咨询智能服务
安全运营成熟度评估智能服务
等保合规建设咨询智能服务
源代码安全审计智能服务
应急响应智能服务
安全保障智能服务
智能体定制服务
安全运营规划设计智能服务

天穹MSS安全运营服务

MDR威胁检测与响应服务
互联网暴露面检测服务
敏感数据泄露检测服务
EASM外部攻击面管理服务
邮件安全监测服务

专业安全服务

可信众测
渗透测试
信息系统风险评估
安全漏洞评估
资产测绘服务
源代码安全审计
上线前安全评估服务
专项安全检查服务
无线安全评估
移动APP安全测试
攻防演练组织服务
7*24小时应急响应

安全咨询服务

网络安全规划咨询
安全运营咨询服务
数据安全咨询服务
数据安全风险评估
数据安全分类分级
管理体系建设咨询
等保合规建设咨询
政策解读与意识培训
金融信息系统安全评估
SWIFT安全合规评估
信息科技风险评估咨询
运营商符合性评测

服务平台工具

AI-数字安服
安全服务智能体中心
天诛安全攻防平台
天禹漏洞情报平台

网络安保服务

重要时期网络安全保障服务
重大活动网络安全保障服务

订阅式Saas服务

云防护服务
云监测服务
云等保服务
云API情报服务
攻防资讯订阅服务
漏洞情报数据订阅服务
情报平台账号订阅服务
渗透攻防平台账号订阅服务
渗透攻防平台账号订阅服务(单兵版)
应急分析平台账号订阅服务
暗网雷达账号订阅服务

查看全部服务列表
AI+安全服务
AI+ 安全服务

一切产品皆资源，一切资源皆服务

融合人工智能与网络安全的专业服务体系，为企业提供全方位的Al安全咨询、威胁检测、安全运营等一站式解决方案，让安全防护更智能、更高效、更可靠。

立即咨询

AI技术领先

专家团队

7x24 小时服务

定制化服务

17 年重保零事故
解决方案
金融
全力护航金融客户网络安全、数据安全

医疗
助力“互联网+医疗”建设网络安全

教育
高校网络安全行业人才培养、技术创新、财产发展与网络安全技术应用

运营商
通信运营商云网协同安全防护解决方案

公安
公安行业网络安全建设

政府
云上安全｜ “智慧政府”

企业
智慧企业信息安全运营体系建设

能源电力
能源电力行业解决方案

交通
公路、民航、轨道行业信息安全解决方案

智慧城市
智慧城市解决方案

热门产品

安全托管运营服务MSS
提供体系化、常态化的安全托管服务，协助构建7*24小时全天候、全方位的安全运营体系

安恒数盾数据安全解决方案
全生命周期安全防护，智能体驱动效能提升，场景化联动管控。

安恒云安全解决方案
多云一体、融合安全、闭环运营

AiLPHA智能安全运营解决方案
多场景应用提升安全运营能力

物联网安全解决方案
安全态势感知与管控

工业信息安全解决方案
全方位守护工业信息网络安全

AI数据安全分类分级解决方案
AI数据分类分级，让分类分级快人一步！

HVV专题重保解决方案（BAS+SOAR）
HVV利器，即日起，免费试用三个月！

数由空间解决方案
有效实现数据“供得出、流得动、用得好、保安全”的数据流通利用基础设施

安恒信息网络安全一体化远程托管解决方案
7×24 小时全维度托管模式实现企业网络安全无忧化管理，全方位满足企业业务安全运行与合规监管的双重需求。

热门产品

安全托管运营服务MSS
提供体系化、常态化的安全托管服务，协助构建7*24小时全天候、全方位的安全运营体系

企业大模型安全解决方案
构建大模型全生命周期防护架构，强化多维度安全能力

AI大模型监管解决方案
对本地AI服务提供者开展日常监督、备案审查工作

智算中心一体化安全解决方案
智算全栈安全方案，算网安协同，合规高效

政数局AI安全解决方案
监控感知应急全套流程的安全监管机制

智御全域：新一代终端安全综合防护方案

办公网安全一体化防护解决方案

企业数据防泄漏方案

测试方案2

热门产品

安全托管运营服务MSS
提供体系化、常态化的安全托管服务，协助构建7*24小时全天候、全方位的安全运营体系

安全意识教育解决方案
一站式意识教育解决方案

热门产品

1安全托管运营服务MSS
提供体系化、常态化的安全托管服务，协助构建7*24小时全天候、全方位的安全运营体系
- 行业解决方案
  
  金融
  全力护航金融客户网络安全、数据安全
  
  医疗
  助力“互联网+医疗”建设网络安全
  
  教育
  高校网络安全行业人才培养、技术创新、财产发展与网络安全技术应用
  
  运营商
  通信运营商云网协同安全防护解决方案
  
  公安
  公安行业网络安全建设
  
  政府
  云上安全｜ “智慧政府”
  
  企业
  智慧企业信息安全运营体系建设
  
  能源电力
  能源电力行业解决方案
  
  交通
  公路、民航、轨道行业信息安全解决方案
  
  智慧城市
  智慧城市解决方案
  
  热门产品
  
  安全托管运营服务MSS
  提供体系化、常态化的安全托管服务，协助构建7*24小时全天候、全方位的安全运营体系
- 技术解决方案
  
  安恒数盾数据安全解决方案
  全生命周期安全防护，智能体驱动效能提升，场景化联动管控。
  
  安恒云安全解决方案
  多云一体、融合安全、闭环运营
  
  AiLPHA智能安全运营解决方案
  多场景应用提升安全运营能力
  
  物联网安全解决方案
  安全态势感知与管控
  
  工业信息安全解决方案
  全方位守护工业信息网络安全
  
  AI数据安全分类分级解决方案
  AI数据分类分级，让分类分级快人一步！
  
  HVV专题重保解决方案（BAS+SOAR）
  HVV利器，即日起，免费试用三个月！
  
  数由空间解决方案
  有效实现数据“供得出、流得动、用得好、保安全”的数据流通利用基础设施
  
  安恒信息网络安全一体化远程托管解决方案
  7×24 小时全维度托管模式实现企业网络安全无忧化管理，全方位满足企业业务安全运行与合规监管的双重需求。
  
  热门产品
  
  安全托管运营服务MSS
  提供体系化、常态化的安全托管服务，协助构建7*24小时全天候、全方位的安全运营体系
- 场景解决方案
  
  企业大模型安全解决方案
  构建大模型全生命周期防护架构，强化多维度安全能力
  
  AI大模型监管解决方案
  对本地AI服务提供者开展日常监督、备案审查工作
  
  智算中心一体化安全解决方案
  智算全栈安全方案，算网安协同，合规高效
  
  政数局AI安全解决方案
  监控感知应急全套流程的安全监管机制
  
  智御全域：新一代终端安全综合防护方案
  
  办公网安全一体化防护解决方案
  
  企业数据防泄漏方案
  
  测试方案2
  
  热门产品
  
  安全托管运营服务MSS
  提供体系化、常态化的安全托管服务，协助构建7*24小时全天候、全方位的安全运营体系
- 安全意识教育解决方案
  
  安全意识教育解决方案
  一站式意识教育解决方案
  
  热门产品
  
  1安全托管运营服务MSS
  提供体系化、常态化的安全托管服务，协助构建7*24小时全天候、全方位的安全运营体系
客户案例
技术支持
服务支持

<返回

序列号查询
合作伙伴

<返回

成为合作伙伴
供应商自荐
生态伙伴服务平台

合作伙伴证书查询
资源中心
资源中心
干货内容

干货内容

权威认可

报告＆白皮书

产品与解决方案手册

视频中心

网安科普

知识中心
热门内容

安恒信息入选权威机构AI安全双报告！护航“龙虾安全”获认可
国际权威机构发布报告：安恒信息荣登中国数据安全软件市场前二
安恒信息入选为Gartner^®2025年AI治理典型厂商
Gartner^®发布最新市场指南：安恒信息入选中国DLP代表性厂商

2025年AI时代网络安全财产人才发展报告
2025年《安全智能体魔方成熟度模型评价研究报告》
2025年《网络安全行业AI应用知识图谱》
企业数据跨境安全合规指引（2024）

“三防”科普手册（防勒索、防诈骗、防钓鱼）
企业网络安全风险应对指南
个人信息保护安全应对指南
反诈宝典（大学生篇）
反诈宝典（老年人篇）
反诈宝典手册

精彩推荐

国际权威咨询机构2025下半年报告：安恒信息获中国数据安全市场份额第一
安恒信息入选权威机构AI安全双报告！护航“龙虾安全”获认可
国际权威机构发布报告：安恒信息荣登中国数据安全软件市场前二
安恒信息入选为Gartner^®2025年AI治理典型厂商
Gartner^®发布最新市场指南：安恒信息入选中国DLP代表性厂商
安恒信息明御鉴安网络靶场入选《实战网络靶场应用指南（2025版）》优秀案例与推荐厂商！

“三防”科普手册（防勒索、防诈骗、防钓鱼）
企业网络安全风险应对指南
个人信息保护安全应对指南
反诈宝典（大学生篇）
反诈宝典（老年人篇）
反诈宝典手册
勒索病毒防护最佳实践分享

数据安全治理体系建设指南
权威认可

权威认可

热门内容

安恒信息入选权威机构AI安全双报告！护航“龙虾安全”获认可
国际权威机构发布报告：安恒信息荣登中国数据安全软件市场前二
安恒信息入选为Gartner^®2025年AI治理典型厂商
Gartner^®发布最新市场指南：安恒信息入选中国DLP代表性厂商

精彩推荐

国际权威咨询机构2025下半年报告：安恒信息获中国数据安全市场份额第一
安恒信息入选权威机构AI安全双报告！护航“龙虾安全”获认可
国际权威机构发布报告：安恒信息荣登中国数据安全软件市场前二
安恒信息入选为Gartner^®2025年AI治理典型厂商
Gartner^®发布最新市场指南：安恒信息入选中国DLP代表性厂商
安恒信息明御鉴安网络靶场入选《实战网络靶场应用指南（2025版）》优秀案例与推荐厂商！

报告＆白皮书

报告＆白皮书

热门内容

2025年AI时代网络安全财产人才发展报告
2025年《安全智能体魔方成熟度模型评价研究报告》
2025年《网络安全行业AI应用知识图谱》
企业数据跨境安全合规指引（2024）

精彩推荐

产品与解决方案手册

产品与解决方案手册

热门内容

精彩推荐

视频中心

视频中心

热门内容

精彩推荐

网安科普

网安科普

热门内容

“三防”科普手册（防勒索、防诈骗、防钓鱼）
企业网络安全风险应对指南
个人信息保护安全应对指南
反诈宝典（大学生篇）
反诈宝典（老年人篇）
反诈宝典手册

精彩推荐

“三防”科普手册（防勒索、防诈骗、防钓鱼）
企业网络安全风险应对指南
个人信息保护安全应对指南
反诈宝典（大学生篇）
反诈宝典（老年人篇）
反诈宝典手册

知识中心

知识中心

热门内容

精彩推荐
关于我们

<返回

公司介绍

安恒动态

安恒研究院
数字人才创研院
安全创新体验中心
AI星火计划

反舞弊举报

隐私保护

投资者关系

招贤纳士

申请试用

> 关于我们 > 安恒动态 > 2019 > 正文

fnt_36">响尾蛇（SideWinder）在“克什米尔危机”之后针对中国进行攻击

阅读量：次

概要

近日安恒信息获取到一批定向攻击的APT样本，经过关联分析发现这批样本与具有印度背景的境外APT组织响尾蛇（SideWinder）有关。该样本使用“保利国防科技研究中心“内容投递远控木马，是一起针对我国的APT攻击活动。

背景

本次发现的响尾蛇APT组织样本投放时间为7月中旬之后，此时间段内中印由于“克什米尔危机“等事件带来的国界划分影响，关系再次开始紧张。我们结合该组织的印度背景，可以确定在“克什米尔危机“前后，该组织针对我国发起可能带有政治意图的攻击活动。

本次攻击诱饵文档使用保利集团相关内容，保利集团是国务院国有资产监督管理委员会监管的大型国有中央企业，主要经营通用商品和特种装备及技术的进出口业务，先后引进了包括黑鹰直升机，瑞士防空系统等产品，并且出口了大量的防务装备。

此样本生成时间在2019年9月12日，中国和印度军队曾在2019年9月11日左右于靠近班公错北岸的实际控制线一带发生对峙。

样本分析

样本感染流程：

1、诱饵文档使用CVE-2017-11882执行释放到%temp%路径下1.a脚本；

2、1.a脚本拷贝白文件write.exe和恶意的PROPSYS.dll，以及加密后的恶意程序主体到“C:\ProgramData\AuthyFiles“路径并设置“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”自启动注册表项；

3、write.exe是win7系统白文件，启动后会加载PROPSYS.dll恶意DLL，此DLL会解密同目录下“.tmp“结尾的文件，解密后是木马本体，开始执行木马本体。

诱饵文档分析

诱饵信息为“保利国防科技研究中心“的中文文件：

利用漏洞CVE-2017-11882加载嵌入的JS脚本：

脚本阶段

脚本经过分析功能为释放相关文件到“C:\ProgramData\AuthyFiles”并启动“write.exe“进程，进入下一阶段的白加黑利用：

白加黑利用阶段

write.exe会加载同目录下的PROPSYS.dll实现白加黑利用

DLL功能为解密同目录下的tmp后缀文件并执行：

解密手法：

.tmp文件前32字节为密钥，后续字节通过异或解密，解密后确为一个PE格式文件

最终阶段

样本主体是一个C#窃密木马，名称SystemApp.dll，窃密木马整体流程为加载配置、启动信息收集和下载执行线程、进行一次基本信息收集：

系统信息写入.sif为后缀的文件，文件遍历结果写入.flc为后缀的文件，需要上传的文件写入为后缀的.fls文件，如果写入出错则会写入.err为后缀的文件。

下载执行线程工作如下：

信息收集上传线程工作，首先上传几个日志/信息文件：

如果需要上传指定文件则再上传指定文件：

信息传输的加解密方法同白加黑利用阶段的PE解密，加密手段：

解密手段：

内置硬编码默认CC，也可以从CC端下发进行更改：

关闭

相关推荐

客服在线咨询入口，期待与您交流

线上咨询

咨询电话：400-6059-110

即刻预约免费试用，我们将在24小时内联系您

微信咨询

安恒信息联系方式

百度搜狗 360搜索乌云之上师父反水美国单边霸凌终将反噬自身广末凉子涉嫌袭击护士被逮捕吴世勋去了EXO直播现场孕妇做四维意外拍下宝宝干饭瞬间

<code id='52e47'></code><style id='bca35'></style>

<acronym id='0d8b5'></acronym>

<center id='499db'><center id='94a81'><tfoot id='e9277'></tfoot></center><abbr id='9adf9'><dir id='ccb9e'><tfoot id='efc5d'></tfoot><noframes id='4a597'>

<optgroup id='7f7c0'><strike id='60f90'><sup id='698c8'></sup></strike><code id='b6902'></code></optgroup>

<b id='061de'><label id='4550b'><select id='bf35c'><dt id='a09d6'><span id='8da63'></span></dt></select></label></b><u id='19ce0'></u>

~~<i id='ceee8'><strike id='272a9'><tt id='52c7b'><pre id='2c100'></pre></tt></strike></i>~~