首页
社区
课程
招聘
[原创]高级APT木马逆向分析
发表于: 2022-10-3 11:29 13831

[原创]高级APT木马逆向分析

2022-10-3 11:29
13831

特点:释放了13个文件,普遍都很小只有几百kb

释放隐藏文件1个
自我复制 1个
设置了自启动
查壳.

1、病毒来自水坑攻击,文档投毒或U盘感染.
2、病毒行为:
反检测技术:检查SCSI接口磁盘的ID,可能被恶意程序用于检测是否运行在虚拟环境中.
通过检查注册表HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Disk\Enum\
虚拟机下会有 QEMU,vbox,vmware,virtualhd等字样.
反逆向工程:利用一个未公开函数NtMapViewOfSection在远程进程地址空间写入代码,并且用一种新的技术在远程进程中执行它,这种技术完全工作在用户模式下,并且不需要特殊的条件比如像管理员权限或者之类的要求

设置注册表实现自启动:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\34286
加载模块资源并rsa解密出pe文件

通过在svchost.exe注射代码,来实现通信.

通过判断计算机语言来执行一些操作.
3、病毒获取信息:
查询系统用户名:GetUserNameW
获取系统信息:GetSystemInfo
查询计算机名:GetComputerNameW
C:\Windows\win.ini

具体的信息都在44FF2421BBD7918C6AD68DA4FA276E02.exe.idb 文件中了,这个apt有些复杂,其中有许多地方还是有些不明白.
希望和朋友们多多交流,文件我全部打包上传了,可以留言一起研究


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
收藏
免费 8
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//