针对一个疑似红队样本的详细分析

admin 2024年11月25日10:18:01评论10 views字数 1235阅读4分7秒阅读模式

安全分析与研究

专注于全球恶意软件的分析与研究

前言概述

原文首发出处:

https://xz.aliyun.com/t/16318

先知社区 作者:熊猫正正

近日微信朋友发给笔者一个样本,说沙箱跑不出来,让笔者帮忙看看,如下所示:

针对一个疑似红队样本的详细分析

分析完之后,发现有点意思,分享出来供大家参考学习。

详细分析

1.样本解压缩之后,恶意文件被设置为系统隐藏属性,如下所示:

针对一个疑似红队样本的详细分析

2.恶意模块的编译时间为2024年10月15日,如下所示:

针对一个疑似红队样本的详细分析

3.采用白+黑的加载方式,加载恶意模块,如下所示:

针对一个疑似红队样本的详细分析

4.通过分析发现它的恶意代码隐藏在cef_enable_highdpi_support导出函数,如下所示:

针对一个疑似红队样本的详细分析

5.跳转执行到恶意代码,如下所示:

针对一个疑似红队样本的详细分析

6.定位同目录下的加密数据文件log.dat,如下所示:

针对一个疑似红队样本的详细分析

7.读取加密数据到内存当中,如下所示:

针对一个疑似红队样本的详细分析

8.解密加密的数据,如下所示:

针对一个疑似红队样本的详细分析

9.解密后的PayLoad,如下所示:

针对一个疑似红队样本的详细分析

10.分配相应的内存空间,将解密的PayLoad拷贝到内存空间当中,如下所示:

针对一个疑似红队样本的详细分析

11.跳转执行到解密的PayLoad,如下所示:

针对一个疑似红队样本的详细分析

12.执行到PayLoad的主函数入口点,如下所示:

针对一个疑似红队样本的详细分析

13.获取环境变量和程序执行路径,如下所示:

针对一个疑似红队样本的详细分析

14.如果程序运行路径不在指定的目录下,则将程序拷贝到指定的C:UsersPublic目录下,如下所示:

针对一个疑似红队样本的详细分析

15.然后启动WPS.exe程序,加载执行恶意模块,如下所示:

针对一个疑似红队样本的详细分析

16.最后打开同目录下的WORD文件word.docx欺骗受害者,如下所示:

针对一个疑似红队样本的详细分析

17.创建线程执行Sleep函数反虚拟机对抗,如下所示:

针对一个疑似红队样本的详细分析

18.获取VirtualAlloc函数地址,调用执行分配相应的内存空间,如下所示:

针对一个疑似红队样本的详细分析

19.解密程序中加密的数据,相关的解密算法,如下所示:

针对一个疑似红队样本的详细分析

20.解密之后的ShellCode代码,如下所示:

针对一个疑似红队样本的详细分析

21.将解密的ShellCode代码拷贝到分配的内存空间当中,如下所示:

针对一个疑似红队样本的详细分析

22.执行解密的ShellCode数据,如下所示:

针对一个疑似红队样本的详细分析

23.解密出来的ShellCode是一个CS后门,相关的配置信息,如下所示:

针对一个疑似红队样本的详细分析

24.CS后门的c2域名为www.6xh2cwlp.sched.v1lego.tdnsvod1.cn,通过威胁情报平台查询,如下所示:

针对一个疑似红队样本的详细分析

通过威胁情报关联分析,可以关联到两个相关的钓鱼样本,就是笔者分析的这个样本,疑似某红队样本。

威胁情报

针对一个疑似红队样本的详细分析

总结结尾

每年都会有很多新的红队样本出现,里面包含各种各样的安全技术,是一个不错的学习机会,对一些有意思的对抗样本都可以深入分析和研究。

安全分析与研究,专注于全球恶意软件的分析与研究,深度追踪全球黑客组织攻击活动,欢迎大家关注,获取全球最新的黑客组织攻击事件威胁情报。

针对一个疑似红队样本的详细分析

王正

笔名:熊猫正正

恶意软件研究员

长期专注于全球恶意软件的分析与研究,深度追踪全球黑客组织的攻击活动,擅长各种恶意软件逆向分析技术,具有丰富的样本分析实战经验,对勒索病毒、挖矿病毒、窃密、远控木马、银行木马、僵尸网络、高端APT样本都有深入的分析与研究

原文始发于微信公众号(安全分析与研究):针对一个疑似红队样本的详细分析

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月25日10:18:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   针对一个疑似红队样本的详细分析http://cn-sec.com/archives/3433351.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息