专栏名称: 安全分析与研究
专注于全球恶意软件的分析与研究,追踪全球黑客组织攻击活动
今天看啥  ›  专栏  ›  安全分析与研究

某黑产组织捆绑VPN和TG等安装程序进行攻击活动

安全分析与研究  · 公众号  ·  · 2024-07-30 08:58
    

文章预览

前言概述 原文首发出处: https://xz.aliyun.com/t/15082 先知社区 作者:熊猫正正 近日笔者在某社交论坛上发现一例黑产组织捆绑LetsVPN、TG等安装程序进行攻击活动的最新攻击样本,该样本里面中使用了一些比较有趣的对抗技巧,笔者对该攻击样本进行了详细分析,分享出来供大家参考学习。 详细分析 1.初始样本为一个MSI安装程序,里面捆绑了LetsVPN安装程序,如下所示: 2.查看MSI安装脚本,里面的字符串是逆序的再通过StrReverse恢复,如下所示: 3.笔者先手动把这些字符串还原,方便后面分析,安装脚本先检测操作系统信息,如下所示: 4.解压缩MSI安装包中的vs.zip到指定目录,如下所示: 5.vs.zip解压缩之后,如下所示: 6.Python文件夹内容,如下所示: 7.判断操作系统版本、360相关进程以及自启动注册表项等,然后调用python38.jpg脚本,如下所示: 8.pytho ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览