MMcORE 针对东南亚的 APT 攻击
2021-03-19 11:11:00 Author: paper.seebug.org(查看原文) 阅读量:175 收藏

作者: Yenn_
原文链接:Wei's Blog

基本信息

File Name File Size File Type MD5
76,800 Byte bbe4ae55f828e020c32e215f4d152cc3

查壳

img

无壳

详细分析

在运行后,动态行为中未发现任何异常,可能有对抗检测的操作

img

拉进IDA,来到MAIN函数

img

img

对抗检测

先取得一次当前激活窗口名,每隔1000ms检测一次当前活动的窗口,然后比较两次是否一样,如果一样则进入死循环,一直查找窗口

img

然后利用memset函数,将一片内存置0,然后在置0的一块内存中得出一个DLL名,snxhk.dll

是杀毒软件Avast的一个模块

img

img

解密字符串

使用memset置0内存,再解密出一个url dailysync.zapto.org

img

img

解密出一个jpg路径,/fancycumti/combidation/scale.jpg

img

img

将前面得出的URL和jpg路径转换为宽字符

img

然后进入一个死循环,生成一个随机数,再利用生成的随机数Sleep

img

请求资源

加载wininet.dll,wininet.dll是windows应用程序中的网络相关模块

img

利用Getprocaddress,获取大量函数地址

img

对dailysync.zapto.org/fancycumti/combidation/scale.jpg发起http请求

img

加载资源

从远程服务器中请求一个jpg资源,然后读取jpg的数据

img

修改申请内存的页属性,然后创建新线程,执行读取到的内容

img

dailysync.zapto.org/fancycumti/combidation/scale.jpg已经挂了,目前为止还没找到可下载的样本,后面的暂时分析不了。


Paper 本文由 Seebug Paper 发布,如需转载请注明来源。本文地址:https://paper.seebug.org/1517/


文章来源: https://paper.seebug.org/1517/
如有侵权请联系:admin#unsafe.sh