首页
社区
课程
招聘
[原创]是谁在钓鱼?
发表于: 2020-7-20 15:44 4874

[原创]是谁在钓鱼?

2020-7-20 15:44
4874

笔者早上浏览到一个高度疑似的钓鱼邮件附件样本,提交的文件名为:泰康健投bug测试补丁

简单看了下,静态免杀效果很好,只有两家引擎检出,并标记为Meterpreter,Meterpreter或者Cobalt Strike常常是国内从业用户钓鱼的首选,可以发现目前国内流行杀软是检测不出来的。


存在pdb路径:C:\Users\Administrator\documents\visual studio 2015\Projects\s3\x64\Debug\s3.pdb,原始项目文件名为s3,估计是作者的第三次行动?不过编译环境也获取到了,也是笔者喜欢的宇宙最强IDE。与之前钓鱼邮件不同的是采用了x64架构来编写后门木马,加了upx压缩壳,编译时间为2020-07-01 22:01:21。

通信流量采用的是https,是加密的,后续会下载下一阶段payload内存加载执行,类似于Reverse HTTPS后门,与之前分析的是类似的,这里不再继续深入分析。


https通信前的交互过程,如下。


肯定也已经失效了,现在钓鱼钓不到很快就换鱼塘了。



[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 1
支持
分享
最新回复 (3)
雪    币: 181
活跃值: (621)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
,来自皇宫的IP。不敢继续分析了。在分析就。。。。
2020-7-20 18:43
0
雪    币: 17428
活跃值: (5009)
能力值: ( LV9,RANK:450 )
在线值:
发帖
回帖
粉丝
3
柒雪天尚 [em_14],来自皇宫的IP。不敢继续分析了。在分析就。。。。
不太懂这个
2020-7-22 18:45
0
游客
登录 | 注册 方可回帖
返回
//