笔者早上浏览到一个高度疑似的钓鱼邮件附件样本,提交的文件名为:泰康健投bug测试补丁。
简单看了下,静态免杀效果很好,只有两家引擎检出,并标记为Meterpreter,Meterpreter或者Cobalt Strike常常是国内从业用户钓鱼的首选,可以发现目前国内流行杀软是检测不出来的。
存在pdb路径:C:\Users\Administrator\documents\visual studio 2015\Projects\s3\x64\Debug\s3.pdb,原始项目文件名为s3,估计是作者的第三次行动?不过编译环境也获取到了,也是笔者喜欢的宇宙最强IDE。与之前钓鱼邮件不同的是采用了x64架构来编写后门木马,加了upx压缩壳,编译时间为2020-07-01 22:01:21。
通信流量采用的是https,是加密的,后续会下载下一阶段payload内存加载执行,类似于Reverse HTTPS后门,与之前分析的是类似的,这里不再继续深入分析。
https通信前的交互过程,如下。
肯定也已经失效了,现在钓鱼钓不到很快就换鱼塘了。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
柒雪天尚 [em_14],来自皇宫的IP。不敢继续分析了。在分析就。。。。