-
-
[原创]海莲花APT组织样本分析
-
发表于: 2021-12-16 20:30
-
话不多说,直接开干,经典的图标伪装,伪装成一个DOC文档,以为换个马甲就不认识你了,哼哼!!
朋友来了有好酒 敌人来了有猎枪,先上老三样
自解压格式
好了,是骡子是马拉出来溜溜吧!!
哇
好家伙,一窝全是,您可真能生!!!!
李鬼就是李鬼,弄个假的看不起谁呢。。。。
里应外合,谋财害命
爬我墙头,我呸,真猥琐
意料之中
小结:经典的白+黑加载方式,先释放白+黑程序,然后启动白程序MicrosoftUpdate.exe,再通过MicrosoftUpdate.exe加载SoftwareUpdateFiles.Resources下的 SoftwareUpdateFilesLocalized.dll恶意程序
使用OD详细分析
读取SoftwareUpdateFiles.locale中的内容
解密数据
执行解密后的数据,(因为中途跑飞了所以地址有一点变化,不影响分析,忽略即可)
生成假文档迷惑用户
通过LoadLibrary和GetProcAddress获取函数地址
最后退出程序
先分析到这里,下次继续!!
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
最后于 2021-12-18 11:49
被寒江独钓_编辑
,原因:
|
|
|---|---|
|
|
|
|
|
Detect-It-Easy |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
大佬,样本溯源怎么做,怎么知道这个样本就是海莲花组织的呢
|
|
|
|
|
|
|
|
|
哇呜~好专业的样子
|
|
|
同问 |
|
|
threatbook |
blck四
