对二五仔的一次病毒分析

admin 2021年11月19日04:16:12评论81 views字数 1478阅读4分55秒阅读模式

 

不知道哪个同事收到了邮件并打开


 

对二五仔的一次病毒分析

 

邮件附属两个doc文件

 

对二五仔的一次病毒分析



打开邮件

对二五仔的一次病毒分析

 

好家伙、看这个邮件就指定不对劲

马上查一波、发现乃是钓鱼邮件!!!


SHA256:e3939ac53aed2324a1ece27b41dd49218c8f2726a5afa639656c87ce87a36e01

 

发现其中含恶意宏代码

从宏代码中提取其powershell脚本

 

对二五仔的一次病毒分析

 

经过混淆,不过很明显有http头和webclient。

 

http://itac2.com/wp-admin/S/http://ie-innovations.com/insetPages/E/http://handlestone.com/shadowbox/R/http://impuls-tech.com/security/Ep/http://intemar2020.com/sites/all/modules/contrib/prod_check/G/http://inessilvanutrition.com/islow.co/J/*http://hochzoll.net/bilder/N/

 

跟踪此活动时,该地址已无法访问

 

对二五仔的一次病毒分析

 

进程powershell.exe释放一个可执行文件到磁盘上

C:Usersvbccsbr7f8FfSiRoc_vKGbj4dpe9b.exe

该exe具有反沙箱机制

调用API检测系统内存大小、检查适配器地址、检测自身是否正在被调试查看是否存在沙箱内。

 

Powershell流量请求并发送数据

 

GET http://itac2.com/wp-admin/S/GET /wp-admin/S/ HTTP/1.1 Host: itac2.com

 

对二五仔的一次病毒分析

 

威胁情报IOC


对二五仔的一次病毒分析

 


Creation Time       2020:08:31 21:46:00

发现样本地址


对二五仔的一次病毒分析

 


通过地址下载到exe


对二五仔的一次病毒分析


exe文件执行信息收集并回连到远端服务器

 

对二五仔的一次病毒分析

 

发现C2服务器

 

对二五仔的一次病毒分析

 

SHA256:fc2c6cb3dc87ea43f891caca4af3ad1938add8fff48cf0d39a244cd3a02af4e2

 

从宏代码中提取其powershell脚本

 

对二五仔的一次病毒分析

 

跟上面一样经过混淆

 

https://marianbernabe.com/wp-content/j/

https://matsumototravel.com/bild/IH/*http://metapo.com/rma_faq/oc/

http://meconsultores.net/imag/t/

http://massdepiedra.com/images/Ymm/

http://brettfence.com/cgi-bin/Fg/

http://callrealtyaz.com/wp-content/P0Q/

 

基本上两个doc的攻击手法相识

 

沙箱运行

 

1、尝试删除C:UsersaETAdzjzAppDataLocaliashlprconvert.exe(    防御规避掩盖文件的来源)


2、创建进程

C:UsersaETAdzjzR7f8ffsIroc_vkGbj4dpe9b.exe
C:UsersaETAdzjzAppDataLocaliashlprconvert.exe


3、通过API读取网络适配器的地址


4、删除执行的可执行文件C:UsersaETAdzjzAppDataLocaliashlprconvert.exe。


5、通过两个地址下载恶意exe

http://itac2.com/wp-admin/S/

 

对二五仔的一次病毒分析



对二五仔的一次病毒分析

 

本文始发于微信公众号(Khan安全攻防实验室):对二五仔的一次病毒分析

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年11月19日04:16:12
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   对二五仔的一次病毒分析https://cn-sec.com/archives/534962.html

发表评论

匿名网友 填写信息