一次窃取程序的恶意样本分析
程序为32位程序,并且是一个.net文件
用dnspy分析,直接定位到主函数
恶意软件从程序集的 AssemblyDescription 属性中提取配置信息,进行base64解码,关键的 Telegram Token 和 Chat ID进行了rot13加密
调用 persistence.CheckCopy(),确保恶意程序被复制到目标路径,防止被删除
在注册表中创建键值,并在发现相同键值存在时停止运行,确保只有一个实例运行
检测是否在虚拟机、沙箱等分析环境中运行。如果检测到分析环境,则退出程序
窃取浏览器的敏感数据,包括保存的密码、cookies 和自动填充信息
窃取被害者主机上的telegram数据,复制数据并压缩为 ZIP 文件,通过 Telegram API 发送到攻击者的服务器
窃取被害者主机上的Exodus 钱包数据,复制数据并压缩为 ZIP 文件,通过 Telegram API 发送到攻击者的服务器
窃取被害者主机上的Metamask数据,复制数据并压缩为 ZIP 文件,通过 Telegram API 发送到攻击者的服务器
获取被害者主机上的系统和硬件信息,包括CPU、GPU、RAM以及系统版本,然后保存到LogComputerInfo.txt中
调用 utils 模块的 desktopScreenshot() 函数截取受害者的桌面截图,最后将所有窃取的数据压缩为 ZIP 文件,通过 Telegram Bot API 上传到攻击者的 Telegram 账户
发送文件后会删除痕迹,包括压缩的zip文件和恶意程序自己
定位攻击者github账户
在config数据里找到了攻击者的github主页
https://github.com/attatier
查看攻击者创建的项目,在历史记录里可以找到恶意程序的传播方式
是一个快捷文件,直接用lnkparse分析
快捷文件直接调用powershell远程获取恶意软件,在被害者主机上运行
然后远程获取正常pdf文件,并在被害者执行程序后自动打开,伪装自己
定位攻击者telegram账户
截取流量
telegram账户:
7781867830
生命周期:
信息:
hash:
50a6880b7a2cfb41d50b9fa34438b8fa
4bc209d3c71283fd0efefe10ef2bc4387dd26c19
攻击者账户:
https://github.com/attatier
telegram id:7781867830黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!
如侵权请私聊我们删文
END
原文始发于微信公众号(黑白之道):一次窃取程序的恶意样本分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论