● 背景 ●
钓鱼诱饵文件名示例
关于2024最新合理避税方案 函数处罚标准!.exe
财会人员薪资补贴调整新政策所需材料函数.exe
2024年3月份违规处罚名单.rar
公司通知财会人员清明节调休时间如下.exe
详细名单.exe
打开密码123.exe
3月份涉税财会人员征信拉黑名单如下.exe
四月企业罚款名单.exe
3月处罚名单.exe
2024年清明节公司财税违规名单.rar
名单详情.exe
详情0000.exe
违规名单.exe
违规开票处分企业名单xlsx.exe
2024年3月份违规开票企业处罚名单.rar
详情,,,.exe
最新财会人员征信黑名单.exe
四月最新财会人员征信黑名单.exe
2024财会人员处罚新政策所需材料.rar
3 月份 违 规处 罚名 单.rar
电子发票.exe
技术分析
样本执行后,首先会获取当前系统中运行的进程数量,判断是否超过40,进程数量少于40则会直接退出。
通过wcsrev函数反转宽字符字符串,再通过定位标记获取字符串里的IP和端口号。
获取到的C2地址IP和端口号:
ip1=134.92.43.149 port1=6666
ip2=134.92.34.149 port2=8888
ip3=134.92.34.149 port3=82
通过this指针访问虚函数,执行核心功能代码。
shellcode负责加载执行内存数据中附带的PE文件。
StartMenuExperienceHos.exe在常规模式下不可见(打开系统显示隐藏文件也不行),需要使用专业工具才能看到。
木马提升当前进程权限,包括远程关机、加载设备驱动程序、创建计算机账户等在内的37个特殊权限。
等待接收远程命令执行上传下载文件,权限提升,键盘记录,屏幕监控,执行任意程序等功能。
在向C2发送数据前和收到数据后,都通过自定义的以异或运算为基础的方法进行加解密。
通过流量抓包分析,可以看到该木马通信数据包中有很多“6666.6”字符串特征。
相关IOC
12532d6f8434b4f1e6b1ec7b98ef8e91 |
887a04cda34f7af3f350fd5f4d7a10c2 |
21a41eea0c4a12ac80a0a41dd06b86c6 |
c17aa0a7bc88d9f753fdd5cb13be697a |
ed7d98ec86252ba3f73d92f7d08513ea |
e90bafa40809c64f1535bf1684b14ee4 |
9c6b3ebb6719f90e638aa097825e5bd3 |
2f202856508ad743315739b0b8164e45 |
edc41e28dc9c16705b6658f8536c8101 |
bb5c8121a1748a170d4cc5e16f40093e |
93a8cc0f7a074b83e34f6e89c538005c |
4479178d28e07bd1eef068ef15a83d47 |
5361f396d10252751b39c06af8168c34 |
277034be6ced435eee05828efc667a7c |
f0cdb673d986220b1acb66b965430be7 |
254943ea6620a11127ee127ba8d3d447 |
a1ed0088746b3c32069f9c03b29941c3 |
122113733ebd64e52e574cbfe2488f04 |
4dbf6b59106684ac56d63448d7af432c |
530781bfc00af3cb514224c395fb8cc9 |
e1c98c669b0f4f9d36363159b44c10bb |
9b630d01963e15bf5b95b9cef6d99195 |
73dd67e9a28ad65aee8cc7124e72c29d |
db75168085d86684dda95e27fa4edf8d |
0bff46b362062157ec4c30f8dd0844f5 |
29a25c10c424c783092286fa2aab9f42 |
c03f269ee0be50799a55ef60715090b4 |
13b74c9f5bebb00fac30f564f7471192 |
48916e81c1e9aa7ab49781db0eece78b |
e39be7543a5c207dd644bbda61d56a5c |
d37921e7d9e37f278046835fdb35ac96 |
910791ee946623a2e48c23db6694a583 |
dd389d68658326c52658649d798c315a |
59b9287a187e8b611d9b027544574e7a |
a54f4cef4f1f72c361dafa288cb657fc |
1878d82888fb77c426a21e1f1d996120 |
ae582838083b5651df0883e29caa66c6 |
e32cbb79663bcb2cefe39fc452eb7867 |
ba4b67b1548b4f1b52811095d14fb25b |
40df53e429cec1c6512789810bab8cb9 |
143.92.43.149 |
143.92.43.168 |
143.92.43.190 |
143.92.60.110 |
143.92.43.221 |
122.10.18.3 |
23.234.39.202 |
122.10.10.135 |
122.10.105.54 |
122.10.14.187 |
198.44.248.162 |
122.10.17.130 |
143.92.43.227 |
122.10.26.236 |
103.214.140.108 |
23.234.37.182 |
143.92.43.234 |
45.195.57.98 |
143.92.43.202 |
产品体验