首页
社区
课程
招聘
[原创]海莲花APT组织样本分析
发表于: 2021-12-16 20:30 20277

[原创]海莲花APT组织样本分析

2021-12-16 20:30
20277

话不多说,直接开干,经典的图标伪装,伪装成一个DOC文档,以为换个马甲就不认识你了,哼哼!!
图片描述
朋友来了有好酒 敌人来了有猎枪,先上老三样
自解压格式
图片描述
图片描述
图片描述
图片描述
好了,是骡子是马拉出来溜溜吧!!

图片描述
好家伙,一窝全是,您可真能生!!!!

李鬼就是李鬼,弄个假的看不起谁呢。。。。
图片描述
里应外合,谋财害命
图片描述
爬我墙头,我呸,真猥琐
图片描述
图片描述
意料之中
图片描述
图片描述
图片描述
小结:经典的白+黑加载方式,先释放白+黑程序,然后启动白程序MicrosoftUpdate.exe,再通过MicrosoftUpdate.exe加载SoftwareUpdateFiles.Resources下的 SoftwareUpdateFilesLocalized.dll恶意程序

使用OD详细分析

读取SoftwareUpdateFiles.locale中的内容
图片描述
解密数据
图片描述
执行解密后的数据,(因为中途跑飞了所以地址有一点变化,不影响分析,忽略即可)
图片描述
生成假文档迷惑用户
图片描述

通过LoadLibrary和GetProcAddress获取函数地址

图片描述

最后退出程序
图片描述

先分析到这里,下次继续!!


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2021-12-18 11:49 被寒江独钓_编辑 ,原因:
上传的附件:
收藏
免费 2
支持
分享
最新回复 (12)
雪    币: 4120
活跃值: (5822)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
2
图1是什么工具,LZ。
2021-12-17 11:46
0
雪    币: 387
活跃值: (2657)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
blck四 图1是什么工具,LZ。
Detect-It-Easy
2021-12-17 12:02
0
雪    币: 17977
活跃值: (435)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
给个哈希呗
2021-12-17 19:27
0
雪    币: 619
活跃值: (1603)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
5

附件是样本

最后于 2021-12-18 11:51 被寒江独钓_编辑 ,原因:
2021-12-18 11:46
0
雪    币: 619
活跃值: (1603)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
6
TWater 给个哈希呗

看附件

最后于 2021-12-18 11:50 被寒江独钓_编辑 ,原因:
2021-12-18 11:46
0
雪    币: 229
活跃值: (330)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
学习一下
2021-12-22 23:56
0
雪    币: 2150
活跃值: (2001)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
8
大佬,样本溯源怎么做,怎么知道这个样本就是海莲花组织的呢
2021-12-23 08:41
0
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
9
学习了
2022-3-2 14:41
0
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
10
附件解压密码多少
2022-3-2 15:56
0
雪    币: 76
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
11
哇呜~好专业的样子
2022-3-7 22:00
0
雪    币: 76
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
12
multi-core 附件解压密码多少
同问
2022-3-9 10:36
0
雪    币: 619
活跃值: (1603)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
13
Get01d 同问
threatbook
2022-3-10 11:31
0
游客
登录 | 注册 方可回帖
返回
//