-
-
[原创]高级APT木马逆向分析
-
发表于: 2022-10-3 11:29 13869
-
特点:释放了13个文件,普遍都很小只有几百kb
释放隐藏文件1个
自我复制 1个
设置了自启动
查壳.
1、病毒来自水坑攻击,文档投毒或U盘感染.
2、病毒行为:
反检测技术:检查SCSI接口磁盘的ID,可能被恶意程序用于检测是否运行在虚拟环境中.
通过检查注册表HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Disk\Enum\
虚拟机下会有 QEMU,vbox,vmware,virtualhd等字样.
反逆向工程:利用一个未公开函数NtMapViewOfSection在远程进程地址空间写入代码,并且用一种新的技术在远程进程中执行它,这种技术完全工作在用户模式下,并且不需要特殊的条件比如像管理员权限或者之类的要求
设置注册表实现自启动:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\34286
加载模块资源并rsa解密出pe文件
通过在svchost.exe注射代码,来实现通信.
通过判断计算机语言来执行一些操作.
3、病毒获取信息:
查询系统用户名:GetUserNameW
获取系统信息:GetSystemInfo
查询计算机名:GetComputerNameW
C:\Windows\win.ini
具体的信息都在44FF2421BBD7918C6AD68DA4FA276E02.exe.idb 文件中了,这个apt有些复杂,其中有许多地方还是有些不明白.
希望和朋友们多多交流,文件我全部打包上传了,可以留言一起研究
赞赏记录
参与人
雪币
留言
时间
mb_yfioexda
为你点赞~
2023-8-22 10:54
伟叔叔
为你点赞~
2023-3-18 01:06
一笑人间万事
为你点赞~
2023-1-11 15:36
马来
为你点赞~
2022-10-9 21:13
一半人生
为你点赞~
2022-10-9 08:48
钢针
为你点赞~
2022-10-4 18:29
Swizzer
为你点赞~
2022-10-4 15:31
二十三111
为你点赞~
2022-10-3 17:57
赞赏
他的文章
看原图
赞赏
雪币:
留言: