针对某黑产组织钓鱼攻击样本分析
2024-4-15 07:57:57 Author: mp.weixin.qq.com(查看原文) 阅读量:4 收藏

安全分析与研究

专注于全球恶意软件的分析与研究

前言概述

原文首发出处:

https://xz.aliyun.com/t/14226

先知社区 作者:熊猫正正

群里大佬说有人钓鱼他,给他发了个全平台免杀样本,如下所示:

找大佬拿到了样本,攻击者指示受害者从平台下载,伪装成公司税务发票信息,如下所示:

打开下载链接网站,如下所示:

查看网站源代码,点击下载按钮之后,会从黑客服务器上下载恶意软件,如下所示:

直接下载样本,对该恶意软件样本进行详细分析。

详细分析

1.样本的编译时间为2024年4月1日,如下所示:

2.采用TMD加壳技术,如下所示:

3.动态调试,达到OEP入口点位置,如下所示:

4.获取网络接口相关函数地址,如下所示:

5.从远程服务器上下载加密的数据到内存当中,如下所示:

6.远程服务器URL地址hxxp://8.134.179.84/tx1,如下所示:

7.下载的加密数据,如下所示:

8.分配相应的内存空间,在内存中解密之前加密的数据,并调用线程执行解密出来的shellcode代码,如下所示:

9.解密出来的shellcode代码,如下所示:

10.shellcode代码在内存中加载执行里面的恶意payload模块,该模块导出函数,如下所示:

11.恶意模块从网上下载对应的恶意程序,如下所示:

12.下载恶意程序到指定的目录下,如下所示:

13.同时还会根据主机系统安装的软件生成不同的恶意程序,如下所示:

14.创建自启动项快捷方式,并启动恶意程序,如下所示:

15.生成的恶意程序,如下所示:

16.快捷方式启动程序,如下所示:

17.RunFile白程序会加载目录下的恶意模块,如下所示:

18.恶意模块导出函数,如下所示:

19.恶意模块,获取相应的函数地址,如下所示:

20.打开explorer.exe进程,如下所示:

21.将恶意代码,写入到explorer.exe进程,如下所示:

22.然后远程执行恶意代码,如下所示:

23.注入的恶意代码导出函数,如下所示:

24.load导出函数,代码如下所示:

25.设置自启动注册表项,如下所示:

26.解析模块中的远程服务器配置信息,配置信息格式,如下所示:

27.黑客远程服务器域名为6010.anonymousrat8.com,如下所示:

通过上面的分析,可以判定该钓鱼攻击为此前使用“银狐”工具的黑产团伙的最新攻击样本。

威胁情报

总结结尾

去年使用“银狐”黑客工具的黑产团伙非常活跃,今年这些黑产团伙仍然非常活跃,而且仍然在不断的更新自己的攻击样本,采用各种免杀方式,逃避安全厂商的检测,免杀对抗手法一直在升级。


文章来源: https://mp.weixin.qq.com/s?__biz=MzA4ODEyODA3MQ==&mid=2247488102&idx=1&sn=10b20a35d178282c00d5852b2e2112f9&chksm=902fbd4ea758345804d860605b8ba69a92917338babc248939f98d7f2aa3f1cb660c0209fdc0&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh