文章预览
本文编写时攻击者已经撤了资源,并且互联网上没有找到 样本资料,因此部分流程无法分析。但是已经基本把反沙箱、反虚拟机以及混淆看了。 一 样本信息 样本信息 微步: https://s.threatbook.com/report/file/b3e8070d005d4f68f5a2bd3e4bed287b2b1dd9e8ee3d3ceb409c58f0f2d39d28 报告: b3e8070d005d4f68f5a2bd3e4bed287b2b1dd9e8ee3d3ceb409c58f0f2d39d28-report.pdf hash SHA256:b3e8070d005d4f68f5a2bd3e4bed287b2b1dd9e8ee3d3ceb409c58f0f2d39d28 MD5:403eda5d13e6fdf8ff839442b9536001 SHA1:c45c4c9e01dfb9ac48f05ff6cc23f0238021a946 样本特殊的点在于,反沙箱做得很好,微步查不出来,行为也就无从分析了。 那就下载看一下。 二 行为观察 下载样本,观察,发现伪装成企业微信安装程序,加了一些版权信息。 打开火绒剑,过滤这个进程。 双击样本,没有要管理员权限,注册表操作了很多东西。 在虚拟机中执行,他获取了一些注册表信息,比如
………………………………