首页
社区
课程
招聘
[原创]未知黑客团队钓鱼样本分析
发表于: 2019-11-24 23:29 7041

[原创]未知黑客团队钓鱼样本分析

2019-11-24 23:29
7041

背景:在某群里收到一群友的反馈,说其客户收到一封奇怪的邮件,邮件附件内容如下。


0x01-附件分析

可以看到该伪装的文档快捷方式调用ftp.exe进行执行命令。


cc.dat文件内容如下


其开头执行powershell.exe mshta.exe ccc.dat用于执行接下来的恶意命令

然后其从ccc.dat中释放出一个正常的drc.docx文档到C:\ProgramData\drc.docx并且打开


该docx内容如下,打开此文件的目的是为了迷惑用户,让用户不会产生警惕心理


然后执行powershell命令



下载的第二段powershell脚本内容如下(这里我改了一下路径),同样是从图片中提取出被AES加密的WPSUpdate.exe白文件和krpt.dll黑文件



本次使用了白(WPSUpdate.exe)加黑(krpt.dll)的手段绕过杀软


0x02---DLL分析

首先会上传窃取信息通过base64加密传送(由于C2已经失效,修改文件上传到本地局域网观察行为)

基本网络信息


进程列表


软件卸载注册表信息


上传的流量


然后转到GetStartupW的hook函数,其会发送一条特殊的一机一shellcode的Get下载请求


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2020-11-16 19:56 被binlmmhc编辑 ,原因: 信息更新
上传的附件:
收藏
免费 1
支持
分享
最新回复 (9)
雪    币: 3496
活跃值: (749)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
谢谢分享。
2019-11-25 07:44
0
雪    币: 495
活跃值: (147)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
3
发文章不发样本都是耍流氓
最后于 2019-11-25 11:32 被养乐多A编辑 ,原因:
2019-11-25 11:32
0
雪    币: 8427
活跃值: (5021)
能力值: ( LV4,RANK:45 )
在线值:
发帖
回帖
粉丝
4
学习了
2019-11-25 15:54
0
雪    币: 1037
活跃值: (1780)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
发图不发种,菊花万人捅
2019-11-25 15:59
0
雪    币: 2107
活跃值: (1429)
能力值: ( LV8,RANK:126 )
在线值:
发帖
回帖
粉丝
6
wooyunking 发图不发种,菊花万人捅
发了肿么办,捅你两个蛋
2019-11-25 20:11
0
雪    币: 9792
活跃值: (1670)
能力值: ( LV12,RANK:261 )
在线值:
发帖
回帖
粉丝
9
这是APT-C-00 海莲花吧
APT-C-12是蓝宝菇
2020-9-7 16:59
0
雪    币: 2107
活跃值: (1429)
能力值: ( LV8,RANK:126 )
在线值:
发帖
回帖
粉丝
10

1

最后于 2020-11-16 19:57 被binlmmhc编辑 ,原因:
2020-9-10 22:47
0
游客
登录 | 注册 方可回帖
返回
//