能力值:
( LV3,RANK:35 )
|
-
-
2 楼
发现不少恶意软件喜欢用.net来写
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
Vagaeth
发现不少恶意软件喜欢用.net来写
估计是因为 Net 不报毒可以躲杀毒软件
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
maark
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
Mxixihaha
估计是因为 Net 不报毒可以躲杀毒软件
defender识别.NET的马比较厉害,之前就被干过
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
Vagaeth
发现不少恶意软件喜欢用.net来写
可能是语法糖比较多吧,很多东西比较方便
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
mark
|
能力值:
( LV3,RANK:30 )
|
-
-
8 楼
这应该不是Tesla,根据以往的报告以及外网的报告,可以得知Tesla应该是一个.net程序.而前面三个阶段只是一个打包器,最后一个阶段才是真正的木马.但从分析中可以得知,最后一个阶段并非是一个.net程序,Tesla作为一个商业马,新旧版本代码应该具有一定的相似性.所以我觉得不太像是Tesla,可能是前面几个阶段VT上误报了.这种打包器在其他组织的攻击中也出现过,然后到了第四阶段释放出AsyncRAT开源木马. 参考链接: https://www.fortinet.com/blog/threat-research/new-agent-tesla-variant-spreading-by-phishing https://www.fortinet.com/blog/threat-research/analysis-of-new-agent-tesla-spyware-variant https://mp.weixin.qq.com/s/7PV4zh-ZJSR-jRf5RSDqcQ https://mp.weixin.qq.com/s/T15pdznZZ4ZsVVpcKrWlnQ
最后于 2020-9-29 15:14
被lracker编辑
,原因:
|
能力值:
( LV7,RANK:110 )
|
-
-
9 楼
lracker
这应该不是Tesla,根据以往的报告以及外网的报告,可以得知Tesla应该是一个.net程序.而前面三个阶段只是一个打包器,最后一个阶段才是真正的木马.但从分析中可以得知,最后一个阶段并非是一个.ne ...
是的 基本上会有两个或者两个以上的加载器,比方说bobsoft ,然后还有一个加载器我没认出来,是内存加载,然后HOOK了 CorExeMain中的一些函数,调用CorExeMain去执行的Tesla,我最近在找这个加载器的资料。如果有的话想要学习一下~
|
能力值:
( LV3,RANK:30 )
|
-
-
10 楼
不懂就不懂
是的 基本上会有两个或者两个以上的加载器,比方说bobsoft ,然后还有一个加载器我没认出来,是内存加载,然后HOOK了 CorExeMain中的一些函数,调用CorExeMain去执行的Tesla ...
没呀,兄弟
|
|
|