-
-
[原创]未知黑客团队钓鱼样本分析
-
发表于:
2019-11-24 23:29
7062
-
背景:在某群里收到一群友的反馈,说其客户收到一封奇怪的邮件,邮件附件内容如下。
0x01-附件分析
可以看到该伪装的文档快捷方式调用ftp.exe进行执行命令。
cc.dat文件内容如下
其开头执行powershell.exe mshta.exe ccc.dat用于执行接下来的恶意命令
然后其从ccc.dat中释放出一个正常的drc.docx文档到C:\ProgramData\drc.docx并且打开
该docx内容如下,打开此文件的目的是为了迷惑用户,让用户不会产生警惕心理
然后执行powershell命令
下载的第二段powershell脚本内容如下(这里我改了一下路径),同样是从图片中提取出被AES加密的WPSUpdate.exe白文件和krpt.dll黑文件
本次使用了白(WPSUpdate.exe)加黑(krpt.dll)的手段绕过杀软
0x02---DLL分析
首先会上传窃取信息通过base64加密传送(由于C2已经失效,修改文件上传到本地局域网观察行为)
基本网络信息
进程列表
软件卸载注册表信息
上传的流量
然后转到GetStartupW的hook函数,其会发送一条特殊的一机一shellcode的Get下载请求
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
最后于 2020-11-16 19:56
被binlmmhc编辑
,原因: 信息更新