针对一个免杀样本的详细分析

文章预览

安全分析与研究 专注于全球恶意软件的分析与研究 前言概述 原文首发出处： https://xz.aliyun.com/t/15243 先知社区 作者：熊猫正正 近日，笔者发现一个免杀样本，样本在VT上的检出率非常低，如下所示： 国内的威胁情报平台检测结果，如下所示： 笔者针对这类免杀类型的攻击样本进行了详细分析，分享出来供大家参考学习。 详细分析 1.样本解压缩之后，如下所示： 2.install.vbs脚本拷贝文件到指定目录，然后启动WINWORD.EXE程序，如下所示： 3.样本采用白+黑的加载方式，如下所示： 4.获取相关函数的地址，如下所示： 5.读取同目录下的license.dat文件，如下所示： 6.通过传递的不同参数，进行解密操作，如下所示： 7.解密函数过程，如下所示： 8.判断是否为管理员权限，如下所示： 9.根据是否为管理员权限启动不同的进程，如下所示： 10.进行提权操作 ………………………………