原文首发出处：

https://xz.aliyun.com/t/15243

先知社区 作者：熊猫正正

近日，笔者发现一个免杀样本，样本在VT上的检出率非常低，如下所示：

国内的威胁情报平台检测结果，如下所示：

笔者针对这类免杀类型的攻击样本进行了详细分析，分享出来供大家参考学习。

1.样本解压缩之后，如下所示：

2.install.vbs脚本拷贝文件到指定目录，然后启动WINWORD.EXE程序，如下所示：

3.样本采用白+黑的加载方式，如下所示：

4.获取相关函数的地址，如下所示：

5.读取同目录下的license.dat文件，如下所示：

6.通过传递的不同参数，进行解密操作，如下所示：

7.解密函数过程，如下所示：

8.判断是否为管理员权限，如下所示：

9.根据是否为管理员权限启动不同的进程，如下所示：

10.进行提权操作，如下所示：

11.然后将解密后的数据注入到启动的进程当中并执行，最后结束当前进程，如下所示：

12.读取license.dat文件加密的数据到内存，如下所示：

13.通过VirtualAlloc分配内存空间，如下所示：

14.解密加密的数据，如下所示：

15.解密后的数据，如下所示：

16.启动相关进程之后，将解密出来的ShellCode代码注入到进程当中，如下所示：

17.注入到进程之后，如下所示：

18.恢复进程的线程执行ShellCode代码，如下所示：

19.调试ShellCode代码，如下所示：

20.连接51f8e520800d40aba9f0e79930d4b1a8.apic.cn-east-3.huaweicloudapis.com远程服务器，如下所示：

21.远程服务器URL后缀为/bootstrap-2.min.js，如下所示：

22.给远程服务器发送请求，等待远程服务器返回相关数据，如下所示：

23.通过远程服务器地址在威胁情报平台上进行查询，如下所示：

24.通过威胁情报平台关联到多个样本，检出率都比较低，如下所示：