-
-
[分享]AK47 c2 http客户端逆向分析
-
发表于: 2025-8-3 16:30
-
AK47c2
样本哈希:24480dbe306597da1ba393b6e30d542673066f98826cc07ac4b9033137f37dbf
使用工具:IDA、x64dbg
概述
该样本在checkpoint的报告中获取,为AK47C2框架的http后门,实现cmd命令执行与回显功能。
样本分析
隐藏程序窗口
获取本机名构建请求任务数据包,数据包为一个json格式。
之后将请求任务数据包异或加密、再转化为16进制字符串
异或密钥为 VHBD@H
使用CURL 发送http post 请求
随后解析响应
通过common_popen 执行cmd 命令
将结果写到json 的result字段中,发送结果并再次请求任务
IOC
http[:]//msupdate.updatemicfosoft.com
情报关联分析
update.updatemicfosoft.com
update.microsfot.org
msupdate.microsfot.org
news.nevuer.com
|
|
|---|---|
