某黑产组织捆绑VPN和TG等安装程序进行攻击活动

文章预览

前言概述 原文首发出处： https://xz.aliyun.com/t/15082 先知社区 作者：熊猫正正 近日笔者在某社交论坛上发现一例黑产组织捆绑LetsVPN、TG等安装程序进行攻击活动的最新攻击样本，该样本里面中使用了一些比较有趣的对抗技巧，笔者对该攻击样本进行了详细分析，分享出来供大家参考学习。 详细分析 1.初始样本为一个MSI安装程序，里面捆绑了LetsVPN安装程序，如下所示： 2.查看MSI安装脚本，里面的字符串是逆序的再通过StrReverse恢复，如下所示： 3.笔者先手动把这些字符串还原，方便后面分析，安装脚本先检测操作系统信息，如下所示： 4.解压缩MSI安装包中的vs.zip到指定目录，如下所示： 5.vs.zip解压缩之后，如下所示： 6.Python文件夹内容，如下所示： 7.判断操作系统版本、360相关进程以及自启动注册表项等，然后调用python38.jpg脚本，如下所示： 8.pytho ………………………………