論文の概要: Plug. Play. Persist. Inside a Ready-to-Go Havoc C2 Infrastructure

• arxiv url: http://arxiv.org/abs/2507.00189v1
• Date: Mon, 30 Jun 2025 18:58:52 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-07-03 14:22:58.637021
• Title: Plug. Play. Persist. Inside a Ready-to-Go Havoc C2 Infrastructure
• Title（参考訳）: Plug.Play.Persist - 準備が整ったC2インフラストラクチャの内部
• Authors: Alessio Di Santo,
• Abstract要約: この分析は、敵がオールインワンの配信、ステージング、コマンド・アンド・コントロルノードに変換した52.230.23.114の単一のAzureホスト仮想マシンに焦点を当てている。 ホストは、オープンディレクトリがフィッシングルアー、ローダー、リフレクティブシェルコード、コンパイルされたHavoc Demonインプラント、および横移動バイナリのツールボックスを公開している、最新のApache 2.4.52インスタンスを宣伝している。 ウェブ層には、攻撃者がデバイスを所有していない場合、初期コード実行を可能にする、公開文書化された重大な脆弱性が取り除かれている。
• 参考スコア（独自算出の注目度）: 0.0
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: This analysis focuses on a single Azure-hosted Virtual Machine at 52.230.23.114 that the adversary converted into an all-in-one delivery, staging and Command-and-Control node. The host advertises an out-of-date Apache 2.4.52 instance whose open directory exposes phishing lures, PowerShell loaders, Reflective Shell-Code, compiled Havoc Demon implants and a toolbox of lateral-movement binaries; the same server also answers on 8443/80 for encrypted beacon traffic. The web tier is riddled with publicly documented critical vulnerabilities, that would have allowed initial code-execution had the attackers not already owned the device. Initial access is delivered through an HTML file that, once de-obfuscated, perfectly mimics Google Unusual sign-in attempt notification and funnels victims toward credential collection. A PowerShell command follows: it disables AMSI in-memory, downloads a Base64-encoded stub, allocates RWX pages and starts the shell-code without ever touching disk. That stub reconstructs a DLL in memory using the Reflective-Loader technique and hands control to Havoc Demon implant. Every Demon variant-32- and 64-bit alike-talks to the same backend, resolves Windows APIs with hashed look-ups, and hides its activity behind indirect syscalls. Runtime telemetry shows interests in registry under Image File Execution Options, deliberate queries to Software Restriction Policy keys, and heavy use of Crypto DLLs to protect payloads and C2 traffic. The attacker toolkit further contains Chisel, PsExec, Doppelganger and Whisker, some of them re-compiled under user directories that leak the developer personas tonzking123 and thobt. Collectively the findings paint a picture of a technically adept actor who values rapid re-tooling over deep operational security, leaning on Havoc modularity and on legitimate cloud services to blend malicious flows into ordinary enterprise traffic.
• Abstract（参考訳）: この分析は、敵がオールインワンの配信、ステージング、コマンド・アンド・コントロルノードに変換した52.230.23.114の単一のAzureホスト仮想マシンに焦点を当てている。 ホストは、オープンディレクトリがフィッシングルアー、PowerShellローダ、リフレクティブシェルコード、コンパイルされたHavoc Demonインプラント、および横移動バイナリのツールボックスを公開している、古いApache 2.4.52インスタンスを宣伝している。 ウェブ層には、攻撃者がデバイスを所有していない場合、初期コード実行を可能にする、公開文書化された重大な脆弱性が取り除かれている。 初期アクセスはHTMLファイルを通じて配信され、一度無効にされると、Google Unusualのサインインの試み通知を完璧に模倣し、被害者をクレデンシャル・コレクションに誘導する。 AMSIインメモリを無効にし、Base64エンコードされたスタブをダウンロードし、RWXページを割り当て、ディスクに触れることなくシェルコードを開始する。 このスタブは、Reflective-Loader技術とハンドコントロールを使ってメモリ内のDLLを再構築し、Havoc Demonインプラントに移植する。 すべてのDemon variant-32および64-bit alike-talkを同じバックエンドに配置し、ハッシュされたルックアップでWindows APIを解決し、間接的なsyscallの背後でそのアクティビティを隠蔽する。 実行時テレメトリでは、Image File Execution Optionsのレジストリ、Software Restriction Policy Keyへの意図的にクエリ、ペイロードとC2トラフィックを保護するためにCrypto DLLを多用している。 攻撃ツールキットには、Chisel、PsExec、Doppelganger、Whiskerが含まれる。 この調査結果は、Havocのモジュール性と正当なクラウドサービスに頼って、悪質なフローを通常のエンタープライズトラフィックにブレンドする、という、技術的に優れたアクターの絵を総括的に描いている。

関連論文リスト

• Under the Hood of BlotchyQuasar: DLL-Based RAT Campaigns Against Latin America [0.0]
  ブラジルを中心に、ラテンアメリカ諸国をターゲットにした洗練されたマルスパムキャンペーンが最近明らかになった。 この操作は、非常に詐欺的なフィッシングメールを使用して、悪意のあるMSIファイルの実行をユーザを騙し、マルチステージ感染を開始する。 このマルウェアは、BlotchyQuasarとして知られるQuasarRATの亜種であり、広範囲の悪意ある活動を可能にする。
  論文  参考訳（メタデータ） (2025-06-27T15:36:10Z)
• Decompiling Smart Contracts with a Large Language Model [51.49197239479266]
  Etherscanの78,047,845のスマートコントラクトがデプロイされているにも関わらず(2025年5月26日現在)、わずか767,520 (1%)がオープンソースである。 この不透明さは、オンチェーンスマートコントラクトバイトコードの自動意味解析を必要とする。 バイトコードを可読でセマンティックに忠実なSolidityコードに変換する,先駆的な逆コンパイルパイプラインを導入する。
  論文  参考訳（メタデータ） (2025-06-24T13:42:59Z)
• Secure User-friendly Blockchain Modular Wallet Design Using Android & OP-TEE [1.249418440326334]
  本稿では、OP-TEEを介してARM TrustZoneに固定されたプラットフォームレベルのサービスとして、鍵管理を再考する。 私たちのアーキテクチャは、従来のモノリシックなTrusted Applicationを、マルチテナントTAストアに格納されたチェーン単位のモジュールに分解します。 暗号化で封印されたファームウェア・オブ・ザ・エアパイプラインは、各TAをAndroidシステムイメージに溶接し、ホットスワップの更新を可能にし、Verified Bootはロールバック保護を強制する。
  論文  参考訳（メタデータ） (2025-06-22T10:57:57Z)
• VPI-Bench: Visual Prompt Injection Attacks for Computer-Use Agents [74.6761188527948]
  完全なシステムアクセスを持つコンピュータ利用エージェント(CUA)は、セキュリティとプライバシの重大なリスクを負う。 我々は、悪意のある命令がレンダリングされたユーザーインターフェイスに視覚的に埋め込まれた視覚的プロンプトインジェクション(VPI)攻撃について検討する。 実験により,現在のCUAとBUAは,それぞれのプラットフォーム上で最大51%,100%の速度で騙すことができることがわかった。
  論文  参考訳（メタデータ） (2025-06-03T05:21:50Z)
• Security Testbed for Preempting Attacks against Supercomputing Infrastructure [1.9097277955963794]
  本稿では,National Center for Supercomputing Applicationsにおけるスーパーコンピュータのライブトラフィックに埋め込まれたセキュリティテストベッドについて述べる。 目的は、ペタスケールのスーパーコンピュータで攻撃のテキスト回避、すなわちシステムの妥協とデータ漏洩を実証することである。
  論文  参考訳（メタデータ） (2024-09-15T03:42:47Z)
• EmInspector: Combating Backdoor Attacks in Federated Self-Supervised Learning Through Embedding Inspection [53.25863925815954]
  フェデレートされた自己教師付き学習(FSSL)は、クライアントの膨大な量の未ラベルデータの利用を可能にする、有望なパラダイムとして登場した。 FSSLはアドバンテージを提供するが、バックドア攻撃に対する感受性は調査されていない。 ローカルモデルの埋め込み空間を検査し,悪意のあるクライアントを検知する埋め込み検査器(EmInspector)を提案する。
  論文  参考訳（メタデータ） (2024-05-21T06:14:49Z)
• Understanding crypter-as-a-service in a popular underground marketplace [51.328567400947435]
  Cryptersは、ターゲットバイナリを変換することで、アンチウイルス(AV)アプリケーションからの検出を回避できるソフトウェアの一部です。 シークレット・アズ・ア・サービスモデルは,検出機構の高度化に対応して人気を博している。 本論文は,シークレット・アズ・ア・サービスに特化したオンライン地下市場に関する最初の研究である。
  論文  参考訳（メタデータ） (2024-05-20T08:35:39Z)
• The Pulse of Fileless Cryptojacking Attacks: Malicious PowerShell Scripts [0.0]
  ファイルレスマルウェアは、主にスクリプトに依存しており、Windowsシステムのネイティブ機能を活用して、被害者のシステムに痕跡を残さないステルス攻撃を実行する。 本稿は、MITRE ATT&CKフレームワークに基づいて、一般的な悪意あるパターンを解読する、ファイルレス暗号ジャッキングの暗号スクリプトを包括的に分析する。
  論文  参考訳（メタデータ） (2024-01-15T22:36:56Z)
• Microarchitectural Security of AWS Firecracker VMM for Serverless Cloud Platforms [9.345368209757495]
  FirecrackerはAmazon Web Services(AWS)がサーバレスクラウドプラットフォーム向けに開発した仮想マシンマネージャである。 私たちはAWSがFirecracker VMM固有のセキュリティをオーバーステートし、Firecrackerを使用するクラウドシステムを適切に保護するための不完全なガイダンスを提供していることを示しています。
  論文  参考訳（メタデータ） (2023-11-27T16:46:03Z)
• Adversarial EXEmples: A Survey and Experimental Evaluation of Practical Attacks on Machine Learning for Windows Malware Detection [67.53296659361598]
  EXEmplesは、比較的少ない入力バイトを摂動することで、機械学習に基づく検出をバイパスすることができる。 我々は、機械学習モデルに対する過去の攻撃を包含し、一般化するだけでなく、3つの新たな攻撃を含む統一フレームワークを開発する。 これらの攻撃はFull DOS、Extended、Shiftと呼ばれ、DOSヘッダをそれぞれ操作し、拡張し、第1セクションの内容を変更することで、敵のペイロードを注入する。
  論文  参考訳（メタデータ） (2020-08-17T07:16:57Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。