-
-
[原创]一个远控样本研判
-
发表于: 2025-4-7 20:56
-
初步研判
样本来源,感谢分享~
假有道_病毒样本 分享&分析区_安全区 卡饭论坛 - 互助分享 - 大气谦和!
SHA256:67a16b6caf08c0796e5ccce7abec3066afe24f0d00ea0b61903d950635e1f8b4
文件在微步云沙箱中已判黑
行为分析
进程行为
执行msi的同时还执行了创建还原点操作,让系统还原时依旧处于被植入状态
文件行为
如下图所示,文件释放了很多文件,大部分为正常的有道词典的子文件,还有复制自身的msi
网络行为
未检出
注册表行为
未发现明显维权行为
详细分析
文件属于MSI
我们依然使用Ocra来分析,可以看到File字段文件一大堆,我们暂且跳过
行为中也没有什么特别可疑的内容
使用MSVBDPCADLL执行导出函数,不过没有恶意行为,仅用于检测安装环境
所以判断主程序并无恶意行为,需要点击白加黑文件才能执行恶意行为
然后我们来看看白加黑,运行文件目录下带了一个dll,而且没有数字签名,很容易就能想到可能存在dll劫持
该dll和标准文件的主要区别在dllmain中,原dll无内容,而黑dll有
内部又调用了res.data
文件属于Donut编译的shellcode,我们尝试执行就可以拿到c2
c2
ya.kongff.com
156.251.17.117:6543
远控在微步云沙箱中已判黑
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
