如何创建自己公司网站,做网站如何提需求,wordpress 熊掌号插件,免费软文推广平台都有哪些前言
朋友微信找到我#xff0c;说某微信群利用0day通告进行钓鱼#xff0c;传播名为“终端安全自检工具”的恶意文件#xff0c;然后还给了两个IP地址#xff0c;如下#xff1a; 咱们就来详细看看这个工具吧。 样本信息
拿到样本#xff0c;样本的图标#xff0c;如…前言
朋友微信找到我说某微信群利用0day通告进行钓鱼传播名为“终端安全自检工具”的恶意文件然后还给了两个IP地址如下 咱们就来详细看看这个工具吧。 样本信息
拿到样本样本的图标如下所示 编译时间为2021年4月8号如下所示 看来作者编译完就迫不及待的去传播了运行样本之后弹出未发现异常的对话框如下所示 会玩会玩。 详细分析
1.样本母体会读取自身资源数据然后解密生成Consoles.exe程序如下所示 2.Console.exe程序解密资源数据解密出来的数据如下所示 3.然后启动svchost.exe程序将解密的资源数据注入到svchost.exe进程中执行如下所示 4.动态调试注入到进程中的代码如下所示 5.代码会解密代码到另外一块内存中执行然后释放原内存中的代码解密后的内存代码为CS后门程序相应的网络连接请求数据如下所示 IP和URL数据信息如下
106.117.252.172,/jquery-3.3.1.min.js
111.62.79.149,/jquery-3.3.1.min.js
121.29.54.59,/jquery-3.3.1.min.js
113.137.62.36,/jquery-3.3.1.min.js
111.19.244.43,/jquery-3.3.1.min.js
116.177.248.23,/jquery-3.3.1.min.js
122.246.6.14,/jquery-3.3.1.min.js
6.然后与远程进行网络通信请求如下所示 样本基本上分析完了里面包含一些反调试反沙箱技巧所以导致一些沙箱引擎没有检测到危险笔者在VT上查了一下这个样本VT上目前也只有12款杀软报毒如下所示 有兴趣的朋友可以自己详细的调试分析一下还是挺有意思的样本相信大家都有了吧。