反沙箱钓鱼远控样本分析

文章预览

本文编写时攻击者已经撤了资源，并且互联网上没有找到 样本资料，因此部分流程无法分析。但是已经基本把反沙箱、反虚拟机以及混淆看了。 一 样本信息 样本信息 微步： https://s.threatbook.com/report/file/b3e8070d005d4f68f5a2bd3e4bed287b2b1dd9e8ee3d3ceb409c58f0f2d39d28 报告： b3e8070d005d4f68f5a2bd3e4bed287b2b1dd9e8ee3d3ceb409c58f0f2d39d28-report.pdf hash SHA256:b3e8070d005d4f68f5a2bd3e4bed287b2b1dd9e8ee3d3ceb409c58f0f2d39d28 MD5:403eda5d13e6fdf8ff839442b9536001 SHA1:c45c4c9e01dfb9ac48f05ff6cc23f0238021a946 样本特殊的点在于，反沙箱做得很好，微步查不出来，行为也就无从分析了。 那就下载看一下。 二 行为观察 下载样本，观察，发现伪装成企业微信安装程序，加了一些版权信息。 打开火绒剑，过滤这个进程。 双击样本，没有要管理员权限，注册表操作了很多东西。 在虚拟机中执行，他获取了一些注册表信息，比如 ………………………………