HW钓鱼简单样本分析以及制作
2023-12-1 23:46:17 Author: 渗透安全团队(查看原文) 阅读量:15 收藏

前言

记录某个对某个钓鱼事件中获取的钓鱼样本进行分析,以及简单的制作学习
样本行为分析
首先看到是 qq 邮箱发来的某个压缩包大概本身是带密码的,反手就丢到虚拟机先看下大概文件,解压后是这样的一个快捷方式

然后打开属性查看快捷方式,看到他运行了一个 rundll32.exe 的文件,应该很多人已经知道这是为了调恶意的 dll,但一看就一个 rundll32.exe 后面全被空格隐藏了后面的命令执行

但解压开确只有一个 lnk,小问题,我们打开 cmd 命令执行 dir /a

我们只需通过该命令
attrib -s -a -h -r C:\Users\14022\Desktop\北京交通大学-xxxx\北京交通大学-xxxx.pdf
就可以将该恶意脚本显示,不然无论查看如何设置都是不行的

显示出来后,看到 rundll32.exe 驱动的就是这个 dll(这个pdf后缀的文件就是将dll文件改成pdf后缀然后用rundll32来进行运行),显然这就是那个可恶的马仔了,立即拿出我的 ida pro 丢进去分析一手
好小子,居然是 apc 注入将 shellcode 注入进 rundll32 进程最后远控会连

继续往下摸索看到了该远控指向的地址www.microsoftdnsserver.xyz:2087,这个丢微步的云沙箱也可以解析分析到,全局搜索

确实是为恶意域名
样本简易制作方式解析
首先是对快捷方式的参数的隐藏,这里笔者做了一个简单的 python 脚本作为例子,具体展示在参数这块

因为快捷方式只能容纳 260 个字符,我在参数添加了 n 个空格作为隐藏,其真实参数为/k calc 为启动一个计算机的操作,运行生成 cmd_shortcut.lnk

打开属性进行查看,参数也依然被隐藏

点击后弹出计算机

完成了病毒样本做的第一个恶意样本操作之后我们接下来就对 pdf 的隐藏,这块也算比较简单,我直接贴命令演示
attrib +s +h C:\Users.…\Desktop\1.txt 参数后面为需要隐藏的文件,这样也就完成了对该病毒样本的简单分析与制作


付费圈子

欢 迎 加 入 星 球 !

代码审计+免杀+渗透学习资源+各种资料文档+各种工具+付费会员

进成员内部群

星球的最近主题和星球内部工具一些展示

加入安全交流群

                               

关 注 有 礼

关注下方公众号回复“666”可以领取一套领取黑客成长秘籍

 还在等什么?赶紧点击下方名片关注学习吧!


干货|史上最全一句话木马

干货 | CS绕过vultr特征检测修改算法

实战 | 用中国人写的红队服务器搞一次内网穿透练习

实战 | 渗透某培训平台经历

实战 | 一次曲折的钓鱼溯源反制

免责声明
由于传播、利用本公众号渗透安全团队所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号渗透安全团队及作者不为承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
好文分享收藏赞一下最美点在看哦

文章来源: http://mp.weixin.qq.com/s?__biz=MzkxNDAyNTY2NA==&mid=2247512535&idx=2&sn=97ef7108febff968d8f9d3c0295abc94&chksm=c1764c78f601c56ef999a53c234c9b0f4a0c6bc8db5f8b94dbe3f0ace26aa9695e44b0fdf1ce&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh