首页
社区
课程
招聘
[原创]【远控木马】银狐组织最新木马样本-分析
发表于: 2023-10-19 15:14 15938

[原创]【远控木马】银狐组织最新木马样本-分析

2023-10-19 15:14
15938

样本来自帖子809K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6T1j5Y4y4Q4x3X3g2C8j5h3k6S2L8W2)9J5k6h3y4F1i4K6u0r3N6r3S2J5k6h3q4V1i4K6u0V1x3U0t1$3x3e0j5&6x3W2)9J5k6o6q4Q4x3X3b7I4i4K6u0W2K9s2c8E0L8l9`.`.

文件名: 2023财会人员薪资补贴调整新政策所需材料.exe
MD5: 20fbd9ac1097d4da587f0e353bbecb80
SHA256: d7bc758160ca6ddaa7ac16ff2a1c48a8481ed0cde96baa9d9fe6608b34f076c6

图片描述

MD5:87c42dee312435c37b095e9a81c9a92a
SHA-1:89e1ac9649ab6439d1e8804b6824a3ec5664bda7
SHA-256:bf3235239dc43b72dc1a0496f507f1ba8545d0fc4c7651d2d55107e8ec76c7ec

程序运行后会检测360程序,有360程序则会弹框,并退出程序执行;
图片描述

图片描述

从指定的url处分别下载一个exe,一个.dat,和edge.jpg,edge.xml;其中exe和.dat使用同一个随机名称;所有文件保存到\Users\用户\AppData\Roaming目录下;
图片描述

图片描述

下载完成后,执行随机名称的exe;

随机名称的exe实际为tu_rt.exe; 此程序为白文件实际是NetSarang系列工具更新程序;但已被病毒利用,加载同一目录下的的同名.dat文件;

.dat是被zip格式加密压缩的文件;逆向tu_rt.exe能看到密码
图片描述

这里直接使用7z对.dat解压得到
图片描述

其中_TUProj.dat开头插入了病毒脚本
图片描述

被解压出的shellcode启动后会读取并修复当前目录下的.xml文件的前4个字节,而修复后的内容实际上是一个PE结构的可执行程序。

图片描述

修复后的PE可执行程序运行后,会向系统中添加计划任务用以定期启动自动执行。同时,程序还会解密同目录下的.png及.jpg文件,这次解压出的程序为真正的远控程序。

木马会添加一个伪装为Onedrive、Microsoft Edge等名称的计划任务:
图片描述

图片描述


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 5
支持
分享
最新回复 (3)
雪    币: 1290
活跃值: (407)
能力值: ( LV4,RANK:53 )
在线值:
发帖
回帖
粉丝
2
隔了20天居然遇到了几乎一模一样的样本,这个银狐看着更新频率也有点低啊
2023-11-8 15:24
0
雪    币: 2237
活跃值: (1383)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
厉害,看起来很厉害,很高深,要多学习编程思路逻辑!!
2023-11-17 16:23
0
雪    币: 13394
活跃值: (9739)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
这个更新程序是indigorose它家的软件部署环境里的卸载部署程序TrueUpdate ,把lua的loader代码放在加密的zip压缩包里,真是天然的免杀,简直就是一个妙呀。能发现这个,真是个人才。

2023-11-17 16:33
0
游客
登录 | 注册 方可回帖
返回