招新小广告CTF组诚招re、crypto、pwn、misc、合约方向的师傅,长期招新IOT+Car+工控+样本分析多个组招人有意向的师傅请联系邮箱 [email protected](带上简历和想加入的小组)
样本来源
VT3 应该是银狐_病毒样本 分享&分析区_安全区 卡饭论坛 - 互助分享 - 大气谦和!(https://bbs.kafan.cn/thread-2279944-1-1.html)
感谢分享~
初步研判
在卡饭上找样本学习,看到微步未检出c2,进一步看看
文件类型为MSI
行为分析
进程行为
无子进程
文件行为
释放文件目前可知的如下所示
注册表行为
未发现维权行为
网络行为
详细分析
MSI文件之前分析过,同样按照之前的步骤分析,可以看到调用LaunchApp,我我们根据launchApp进行下一步
该dll导出函数一共有4个
IOC
52.128.225.124:555552.128.225.126:888852.128.225.126:7777
c2详细内容可在微步x情报社区查看
原文始发于微信公众号(ChaMd5安全团队):msi打包的银狐样本分析
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论