某黑产最新免杀攻击样本详细分析

文章预览

安全分析与研究 专注于全球恶意软件的分析与研究 前言概述 原文首发出处： https://xz.aliyun.com/t/15182 先知社区 作者：熊猫正正 近日有朋友通过微信发我一个样本，如下所示： 在VT上查了一下样本，发现竟然只有一个报毒的，如下所示： 样本第一次上传的日期是2024年7月12日，到现在为止也还只有一家报毒，笔者针对这个最新的免杀样本进行了详细分析，分享出来供大家参考学习。 详细分析 1.样本解压之后，如下所示： 2.采用白+黑的方式加载恶意DLL，如下所示： 3.恶意DLL在VT上的识别率非常低，通过分析它的导出函数，基本都使用MessageBoxA进行重构，如下所示： 4.然后发现有一个函数没有使用MessageBoxA，如下所示： 5.对比这个函数与原文件函数，如下所示： 6.进入这个函数，发现会读取内目录下的TXT加密数据，如下所示： 7.然后通过函数解密加 ………………………………