前言
蔓灵花也称bitter,是一个疑似来源于南亚的高级威胁组织。自 2013年以来,一直属于活跃状态,该组织行动目标主要是巴基斯坦、孟加拉国和沙特阿拉伯的能源、工程和政府部门。
正文
从导出表看,可以发现是在伪装Windows操作系统的动态链接库文件
进入GetFileVersionInfoByHandleEx(void)查看
跟入
判断文件
遍历获取进程信息
信息收集
解密字符串
初始化rpc
生成clientid
生成要被上传的信息,包括用户名,clientid等
等待服务端回应
参考:
Bitter 组织新攻击武器分析报告 - ORPCBackdoor 武器分析 (seebug.org)
原文始发于微信公众号(Th0r安全):APT组织蔓灵花最新样本分析
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论