一次窃取程序的恶意样本分析

admin 2025年2月5日01:02:44评论17 views字数 1180阅读3分56秒阅读模式

一次窃取程序的恶意样本分析

文章来源:奇安信攻防社区
链接:https://forum.butian.net/share/3992
作者:cike_y

一次窃取程序的恶意样本分析

程序为32位程序,并且是一个.net文件

一次窃取程序的恶意样本分析
用dnspy分析,直接定位到主函数

一次窃取程序的恶意样本分析
恶意软件从程序集的 AssemblyDescription 属性中提取配置信息,进行base64解码,关键的 Telegram Token 和 Chat ID进行了rot13加密

一次窃取程序的恶意样本分析
调用 persistence.CheckCopy(),确保恶意程序被复制到目标路径,防止被删除

一次窃取程序的恶意样本分析

一次窃取程序的恶意样本分析
在注册表中创建键值,并在发现相同键值存在时停止运行,确保只有一个实例运行

一次窃取程序的恶意样本分析
检测是否在虚拟机、沙箱等分析环境中运行。如果检测到分析环境,则退出程序

一次窃取程序的恶意样本分析
窃取浏览器的敏感数据,包括保存的密码、cookies 和自动填充信息

一次窃取程序的恶意样本分析
窃取被害者主机上的telegram数据,复制数据并压缩为 ZIP 文件,通过 Telegram API 发送到攻击者的服务器

一次窃取程序的恶意样本分析

一次窃取程序的恶意样本分析
窃取被害者主机上的Exodus 钱包数据,复制数据并压缩为 ZIP 文件,通过 Telegram API 发送到攻击者的服务器

一次窃取程序的恶意样本分析

一次窃取程序的恶意样本分析
窃取被害者主机上的Metamask数据,复制数据并压缩为 ZIP 文件,通过 Telegram API 发送到攻击者的服务器

一次窃取程序的恶意样本分析
获取被害者主机上的系统和硬件信息,包括CPU、GPU、RAM以及系统版本,然后保存到LogComputerInfo.txt中

一次窃取程序的恶意样本分析

一次窃取程序的恶意样本分析
调用 utils 模块的 desktopScreenshot() 函数截取受害者的桌面截图,最后将所有窃取的数据压缩为 ZIP 文件,通过 Telegram Bot API 上传到攻击者的 Telegram 账户

一次窃取程序的恶意样本分析
发送文件后会删除痕迹,包括压缩的zip文件和恶意程序自己

一次窃取程序的恶意样本分析

一次窃取程序的恶意样本分析

定位攻击者github账户

在config数据里找到了攻击者的github主页

一次窃取程序的恶意样本分析

https://github.com/attatier

一次窃取程序的恶意样本分析
查看攻击者创建的项目,在历史记录里可以找到恶意程序的传播方式

一次窃取程序的恶意样本分析
是一个快捷文件,直接用lnkparse分析

一次窃取程序的恶意样本分析
快捷文件直接调用powershell远程获取恶意软件,在被害者主机上运行

一次窃取程序的恶意样本分析

一次窃取程序的恶意样本分析
然后远程获取正常pdf文件,并在被害者执行程序后自动打开,伪装自己

一次窃取程序的恶意样本分析

定位攻击者telegram账户

一次窃取程序的恶意样本分析

截取流量

一次窃取程序的恶意样本分析

一次窃取程序的恶意样本分析
telegram账户:

7781867830

生命周期:

一次窃取程序的恶意样本分析
信息:

hash:
50a6880b7a2cfb41d50b9fa34438b8fa
4bc209d3c71283fd0efefe10ef2bc4387dd26c19

攻击者账户:
https://github.com/attatier
telegram id:7781867830

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!

如侵权请私聊我们删文

END

原文始发于微信公众号(黑白之道):一次窃取程序的恶意样本分析

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月5日01:02:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   一次窃取程序的恶意样本分析https://cn-sec.com/archives/3692550.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息