2.在%ProgramData%目录下生成恶意文件,如下所示:
3.创建相关的自启动服务,如下所示:
4.打开恶意程序所在的文件目录,相关恶意程序文件,如下所示:
5.获取到核心PayLoad,编译时间为2025年1月10日,如下所示:
6.PayLoad相关代码,与此前Gh0st变种部分特征相匹配,如下所示:
7.将获取的黑客服务器C2域名信息在威胁情报平台上查询,如下所示:
8.另外一个样本在ProgramData目录下生成的恶意文件,与上面类似,如下所示:
9.展开app-3.11.3目录之后,相关的恶意文件,如下所示:
10.同样会生成相关的自启动服务,如下所示:
11.将获取的黑客服务器C2域名信息在威胁情报平台上查询,如下所示:
对高级恶意软件分析和研究感兴趣的,可以加入笔者的全球安全分析与研究专业群,一起共同分析和研究全球流行恶意软件家族,笔者今年打算深度跟踪分析一些全球最顶级的TOP恶意软件家族,这些恶意软件家族都是全球最流行的,也是黑客攻击活动中最常见的恶意软件家族,被广泛应用到各种勒索攻击、黑灰产攻击、APT窃密攻击活动当中以达到攻击目的。
原文始发于微信公众号(安全分析与研究):Gh0stRAT远控最新攻击样本分析
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论