UninstalledAppCanary:卸载时会触发的Canary

时间:2024-04-14 09:58:34
【文件属性】:

文件名称:UninstalledAppCanary:卸载时会触发的Canary

文件大小:18KB

文件格式:ZIP

更新时间:2024-04-14 09:58:34

卸载的应用程序Canary 先前的工作 这是基于Windows Service Canaries 的欺骗工程工作而建立的 论文 某些威胁行为者会先卸载许多产品,然后再放弃后续阶段。 我们部署了许多金丝雀应用程序,这些应用程序在以相关名称卸载后会启动。 加密矿工Tradecraft 在2021年的Microsoft Exchange战争中,我们观察到以下威胁者使用的传统方法 cmd /c start /b wmic.exe product where "name like '%Eset%'" call uninstall /nointeractive cmd /c start /b wmic.exe product where "name like '%%Kaspersky%%'" call uninstall /nointeractive cmd /c start /b wmic.exe


【文件预览】:
UninstalledAppCanary-main
----Security()
--------Security.vdproj(26KB)
--------Security.sln(1KB)
----LICENSE(34KB)
----.gitignore(517B)
----README.md(2KB)

网友评论