安全分析与研究
专注于全球恶意软件的分析与研究
前言概述
最近几年“银狐”类黑产团伙非常活跃,今年这些黑产团伙会更加活跃,而且仍然会不断的更新自己的攻击样本,采用各种免杀方式,逃避安全厂商的检测,此前大部分“银狐”黑产团伙使用各种修改版的Gh0st远控作为其攻击武器,远程控制受害者主机之后,进行相关的网络犯罪活动。
近日发现一个钓鱼网站仿冒Chrome浏览器安装程序,如下所示:
样本分析
1.样本运行之后,如下所示:
2.在指定的目录下生成恶意文件,如下所示:
3.采用白+黑的方式加载恶意模块,如下所示:
4.恶意模块编译时间为2025年2月17日,如下所示:
5.恶意模块读取同目录下的加密文件然后解密,如下所示:
6.读取加密文件到内存,如下所示:
7.解密加密的数据,如下所示:
8.解密之后的数据,如下所示:
9.解压缩解码解密后的数据,如下所示:
10.解码后的PayLoad采用UPX加壳,然后执行到PayLoad的导出函数,如下所示:
11.入口代码,如下所示:
里面有一些简单的反调试,反虚拟机的对抗,核心PayLoad有兴趣的自己研究。
总结结尾
黑客组织利用各种恶意软件进行的各种攻击活动已经无处不在,防不胜防,很多系统可能已经被感染了各种恶意软件,全球各地每天都在发生各种恶意软件攻击活动,黑客组织一直在持续更新自己的攻击样本以及攻击技术,不断有企业被攻击,这些黑客组织从来没有停止过攻击活动,非常活跃,新的恶意软件层出不穷,旧的恶意软件又不断更新,需要时刻警惕,可能一不小心就被安装了某个恶意软件。
对恶意软件分析与研究感兴趣的,但没有基础的读者,可以学习笔者的《恶意软件分析基础课程》,可以零基础入门恶意软件分析。
安全分析与研究,专注于全球恶意软件的分析与研究,深度追踪全球黑客组织攻击活动,欢迎大家关注,获取全球最新的黑客组织攻击事件威胁情报。
王正
笔名:熊猫正正
恶意软件研究员
长期专注于全球恶意软件的分析与研究,深度追踪全球黑客组织的攻击活动,擅长各种恶意软件逆向分析技术,具有丰富的样本分析实战经验,对勒索病毒、挖矿病毒、窃密、远控木马、银行木马、僵尸网络、高端APT样本都有深入的分析与研究
原文始发于微信公众号(安全分析与研究):银狐最新钓鱼样本分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论