首页
社区
课程
招聘
[原创] 初入门径 --- 护网钓鱼样本分析
发表于: 2021-6-2 17:59 10680

[原创] 初入门径 --- 护网钓鱼样本分析

2021-6-2 17:59
10680

最近半个月都在学《恶意代码分析实战》,想拿真实的恶意软件进行分析一下。正好朋友发了一个过来。(应该是护网的钓鱼文件)

总共包括三个文件:2021年机关员工(子女)名单.exe、name1.jpg、name2.jpg

2021年机关员工(子女)名单.exe:程序是golang编译的,分析起来有点困难。所以没有进行分析,只是看了一下会有什么行为。
图片描述
name1.jpg为exe
name2.jpg为dll导出了InitBugReport函数,且该函数存在异或解密shellcode的行为。

图片描述

开启Fake-ng,process monitor和process explorer进行行为监控。在虚拟机中执行程序之后会将nam1.jpg保存为yyexternal.exe
图片描述
有一定的迷惑性,让人以为是正常的yy程序
图片描述
name2.jpg会保存为crashreport.dll。之后yyexternal会动态加载crashreport.dll并调用InitBugReport。

加载shellcode的功能都在nam2.jpg(其实是dll)中所以主要分析这个文件。
主要是3个步骤循环:
第一:将byte_100277A8开始偏移%6==3地址上的内容复制到shellcode中
第二:将shellcode循环与!@ASDasd3#@异或解密
第三:将解密后的shellcode复制到VirtualAlloc地址并跳转执行。
图片描述

如何获取shellcode?
1.脚本解密
2.动态内存dump


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 2
支持
分享
最新回复 (4)
雪    币: 10361
活跃值: (4560)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
这个基本就是一项目编译的,都是包含三个文件,xxx.exe、name1.jpg、name2.jpg,xxx.exe 把 name1.jpg、name2.jpg 放到 C 盘某个文件夹且重命名为 yyexternal.ext 和 crashreport.dll,然后运行 yyexternal.exe ,加载 crashreport.dll,这个 dll 才是真正的后门。yyexternal 是有数字签名的,不注意就绕过一些检测了
2021-6-2 18:07
0
雪    币: 1451
活跃值: (2069)
能力值: ( LV7,RANK:105 )
在线值:
发帖
回帖
粉丝
3
Willarcap 这个基本就是一项目编译的,都是包含三个文件,xxx.exe、name1.jpg、name2.jpg,xxx.exe 把 name1.jpg、name2.jpg 放到 C 盘某个文件夹且重命名为 yye ...
原来如此,我还分析那么久
2021-6-2 19:56
0
雪    币: 9792
活跃值: (1675)
能力值: ( LV12,RANK:261 )
在线值:
发帖
回帖
粉丝
4
这类样本应该有4—5个变种,其中使用的白加黑组合应该有三种,然后前面的golang的加载器差不多有3-4种 ;-)
之前第一个版本还没有反虚拟机  第二个版本就把反虚拟机加上了
2021-6-3 08:42
0
雪    币: 2107
活跃值: (1429)
能力值: ( LV8,RANK:126 )
在线值:
发帖
回帖
粉丝
5
看情况就是golang加载了cobaltstrike的shellcode,golang有工具redress可以直接看源码结构,IDA有插件例如IDAGolangHelper之类的可以辅助分析
2021-6-3 09:22
0
游客
登录 | 注册 方可回帖
返回
//