针对某终端安全自检钓鱼工具的分析

admin 2021年4月9日06:18:37评论171 views字数 1464阅读4分52秒阅读模式

安全分析与研究

专注于全球恶意软件的分析与研究

前言

朋友微信找到我,说某微信群利用0day通告进行钓鱼,传播名为“终端安全自检工具”的恶意文件,然后还给了两个IP地址,如下

针对某终端安全自检钓鱼工具的分析

咱们就来详细看看这个工具吧。

样本信息

拿到样本,样本的图标,如下所示:

针对某终端安全自检钓鱼工具的分析

编译时间为2021年4月8号,如下所示:

针对某终端安全自检钓鱼工具的分析

看来作者编译完,就迫不及待的去传播了,运行样本之后,弹出未发现异常的对话框,如下所示:

针对某终端安全自检钓鱼工具的分析

会玩,会玩。

详细分析

1.样本母体会读取自身资源数据,然后解密生成Consoles.exe程序,如下所示:

针对某终端安全自检钓鱼工具的分析

2.Console.exe程序解密资源数据,解密出来的数据,如下所示:

针对某终端安全自检钓鱼工具的分析

3.然后启动svchost.exe程序,将解密的资源数据,注入到svchost.exe进程中执行,如下所示:

针对某终端安全自检钓鱼工具的分析

4.动态调试注入到进程中的代码,如下所示:

针对某终端安全自检钓鱼工具的分析

5.代码会解密代码到另外一块内存中执行,然后释放原内存中的代码,解密后的内存代码为CS后门程序,相应的网络连接请求数据,如下所示:

针对某终端安全自检钓鱼工具的分析

IP和URL数据信息,如下:

106.117.252.172,/jquery-3.3.1.min.js

111.62.79.149,/jquery-3.3.1.min.js

121.29.54.59,/jquery-3.3.1.min.js

113.137.62.36,/jquery-3.3.1.min.js

111.19.244.43,/jquery-3.3.1.min.js

116.177.248.23,/jquery-3.3.1.min.js

122.246.6.14,/jquery-3.3.1.min.js

6.然后与远程进行网络通信请求,如下所示:

针对某终端安全自检钓鱼工具的分析

样本基本上分析完了,里面包含一些反调试反沙箱技巧,所以导致一些沙箱引擎没有检测到危险,笔者在VT上查了一下这个样本,VT上目前也只有12款杀软报毒,如下所示:

针对某终端安全自检钓鱼工具的分析

有兴趣的朋友可以自己详细的调试分析一下,还是挺有意思的,样本相信大家都有了吧。


威胁情报

HASH

13DEE6E2944D670CD81858E119F7D530 终端安全自检工具.exe

D29AA5960A2E329ECCE3C11CC1932A20 Consoles.exe


C&C

106.117.252.172

111.62.79.149

121.29.54.59

113.137.62.36

111.19.244.43

116.177.248.23

122.246.6.14


相信最近大家一定都挺忙的,我和我的团队每天都会捕获各种恶意软件家族样本,期间也会接收到各种来自四面八方的恶意样本,发现一些恶意样本里面使用的攻击技术越来越复杂了,需要花费我们大量的时间和精力去详细分析,里面有些是真实的黑客攻击事件样本,有些是H_V_V红队的样本。


h_v_v期间请大家注意身体,只有平时多多苦练,多多积累,多多提升自己的实战能力,h_v_v的时候才能玩的得心应手。


总结

最后,祝大家在h_v_v中都能取得好的成绩,h_v_v迟早会结束,很短暂,但安全问题会一直存在,全球各地每天其实都在发生各种真实的黑客组织攻击事件,而且后面一定会越来越多,很多安全攻击事件都值得去深入分析研究,还有更多的安全事件没有被发现,奈何笔者精力实在有限,那么多的安全事件也没办法给大家一一去分析,只希望通过自己的努力尽量帮助到一些人吧,安全可以做的事太多了,需要做的事也太多了,做安全不要过度娱乐化了,需要大家静下心来,踏踏实实做点事,还是那句话:做安全,不忘初心,方得始终。


针对某终端安全自检钓鱼工具的分析

本文始发于微信公众号(安全分析与研究):针对某终端安全自检钓鱼工具的分析

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年4月9日06:18:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   针对某终端安全自检钓鱼工具的分析https://cn-sec.com/archives/330832.html

发表评论

匿名网友 填写信息