专栏名称: ChaMd5安全团队
一群不正经的老司机组成的史上最牛逼的安全团队。小二,来杯优乐美。
今天看啥  ›  专栏  ›  ChaMd5安全团队

Chrome浏览器安装包中捆绑的Gh0stRAT

ChaMd5安全团队  · 公众号  ·  · 2024-07-20 08:00
    

文章预览

招新小广告CTF组诚招re、crypto、pwn、misc、合约方向的师傅,长期招新IOT+Car+工控+样本分析多个组招人有意向的师傅请联系邮箱 admin@chamd5.org(带上简历和想加入的小组) 背景 某天监视全流量发现办公网出现外连告警,经排查发现是某员工从网站chrome-web.com上下载了chrome浏览器安装包,该安装包运行后出现外连。简单查看该安装程序,发现打包了两个程序在内:一个是正常的chrome安装包(VT正常),一个是恶意的安装文件WindowsProgram.msi(VT报毒)。随后在逆向过程中,搜索一些字符串,如agmkis2、Shellex等,发现该样本归属Gh0stRAT家族。 行为收集 1.文件行为: 通过修改文件属性隐藏恶意可执行文件TrackerUI.sys和Phone.exe(Windows系统中,也有一个Phone.exe程序,用于将移动设备的数据同步到PC)。 这里通过修改系统设置显示“隐藏文件”是没用的,必须通过attrib命 ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览