-
-
[原创]是谁在钓鱼?
-
2020-7-20 15:44
-
起因
笔者早上浏览到一个高度疑似的钓鱼邮件附件样本,提交的文件名为:泰康健投bug测试补丁。
静态分析
简单看了下,静态免杀效果很好,只有两家引擎检出,并标记为Meterpreter,Meterpreter或者Cobalt Strike常常是国内从业用户钓鱼的首选,可以发现目前国内流行杀软是检测不出来的。
存在pdb路径:C:\Users\Administrator\documents\visual studio 2015\Projects\s3\x64\Debug\s3.pdb,原始项目文件名为s3,估计是作者的第三次行动?不过编译环境也获取到了,也是笔者喜欢的宇宙最强IDE。与之前钓鱼邮件不同的是采用了x64架构来编写后门木马,加了upx压缩壳,编译时间为2020-07-01 22:01:21。
动态分析
通信流量采用的是https,是加密的,后续会下载下一阶段payload内存加载执行,类似于Reverse HTTPS后门,与之前分析的是类似的,这里不再继续深入分析。
https通信前的交互过程,如下。
肯定也已经失效了,现在钓鱼钓不到很快就换鱼塘了。
简单溯源
可以发现这个IDC机房的IP在7月份还是处于活跃阶段的,同时也能发现一些存在历史钓鱼网站的痕迹,如下是伪装成企业内部办公站点。
IOC
https://49.232.196.13/YrAQ
49.232.196.13
e6b6529fe4b12bc99bc7c5be18bbe550
恩,还是北京......
相关文章
https://mp.weixin.qq.com/s/UKvcxGtN19cc_urh45hlFg
https://bbs.pediy.com/thread-259976.htm
参考链接
https://hybrid-analysis.com/sample/56b3203a502d0f735be58ef1a638caa3693bb0b40415c4d5a33b236c7c0979cb
[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》,视频+靶场+题目!助力进入CTF世界
|
|
|---|---|
|
|
 ,来自皇宫的IP。不敢继续分析了。在分析就。。。。
|
|
|
 不太懂这个
|
