针对某终端安全自检钓鱼工具的分析

  • A+
所属分类:安全文章

安全分析与研究

专注于全球恶意软件的分析与研究

前言

 

朋友微信找到我,说某微信群利用0day通告进行钓鱼,传播名为“终端安全自检工具”的恶意文件,然后还给了两个IP地址,如下

针对某终端安全自检钓鱼工具的分析

咱们就来详细看看这个工具吧。

样本信息

 

拿到样本,样本的图标,如下所示

针对某终端安全自检钓鱼工具的分析

编译时间为2021年4月8号,如下所示

针对某终端安全自检钓鱼工具的分析

看来作者编译完,就迫不及待的去传播了,运行样本之后,弹出未发现异常的对话框,如下所示:

针对某终端安全自检钓鱼工具的分析

会玩,会玩。

详细分析

 

1.样本母体会读取自身资源数据,然后解密生成Consoles.exe程序,如下所示:

针对某终端安全自检钓鱼工具的分析

2.Console.exe程序解密资源数据,解密出来的数据,如下所示:

针对某终端安全自检钓鱼工具的分析

3.然后启动svchost.exe程序,将解密的资源数据,注入到svchost.exe进程中执行,如下所示:

针对某终端安全自检钓鱼工具的分析

4.动态调试注入到进程中的代码,如下所示:

针对某终端安全自检钓鱼工具的分析

5.代码会解密代码到另外一块内存中执行,然后释放原内存中的代码,解密后的内存代码为CS后门程序,相应的网络连接请求数据,如下所示:

针对某终端安全自检钓鱼工具的分析

IP和URL数据信息,如下:

106.117.252.172,/jquery-3.3.1.min.js

111.62.79.149,/jquery-3.3.1.min.js

121.29.54.59,/jquery-3.3.1.min.js

113.137.62.36,/jquery-3.3.1.min.js

111.19.244.43,/jquery-3.3.1.min.js

116.177.248.23,/jquery-3.3.1.min.js

122.246.6.14,/jquery-3.3.1.min.js

6.然后与远程进行网络通信请求,如下所示:

针对某终端安全自检钓鱼工具的分析

样本基本上分析完了,里面包含一些反调试反沙箱技巧,所以导致一些沙箱引擎没有检测到危险,笔者在VT上查了一下这个样本,VT上目前也只有12款杀软报毒,如下所示:

针对某终端安全自检钓鱼工具的分析

有兴趣的朋友可以自己详细的调试分析一下,还是挺有意思的,样本相信大家都有了吧。

威胁情报

 

HASH

13DEE6E2944D670CD81858E119F7D530 终端安全自检工具.exe

D29AA5960A2E329ECCE3C11CC1932A20 Consoles.exe

C&C

106.117.252.172

111.62.79.149

121.29.54.59

113.137.62.36

111.19.244.43

116.177.248.23

122.246.6.14

相信最近大家一定都挺忙的,我和我的团队每天都会捕获各种恶意软件家族样本,期间也会接收到各种来自四面八方的恶意样本,发现一些恶意样本里面使用的攻击技术越来越复杂了,需要花费我们大量的时间和精力去详细分析,里面有些是真实的黑客攻击事件样本,有些是H_V_V红队的样本。

h_v_v期间请大家注意身体,只有平时多多苦练,多多积累,多多提升自己的实战能力,h_v_v的时候才能玩的得心应手。

总结

 

最后,祝大家在h_v_v中都能取得好的成绩,h_v_v迟早会结束,很短暂,但安全问题会一直存在,全球各地每天其实都在发生各种真实的黑客组织攻击事件,而且后面一定会越来越多,很多安全攻击事件都值得去深入分析研究,还有更多的安全事件没有被发现,奈何笔者精力实在有限,那么多的安全事件也没办法给大家一一去分析,只希望通过自己的努力尽量帮助到一些人吧,安全可以做的事太多了,需要做的事也太多了,做安全不要过度娱乐化了,需要大家静下心来,踏踏实实做点事,还是那句话:做安全,不忘初心,方得始终。

针对某终端安全自检钓鱼工具的分析

本文始发于微信公众号(安全分析与研究):针对某终端安全自检钓鱼工具的分析

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: