银狐最新攻击样本分析

文章预览

安全分析与研究 专注于全球恶意软件的分析与研究 前言概述 最近几年“银狐”类黑产团伙非常活跃，今年这些黑产团伙会更加活跃，而且仍然会不断的更新自己的攻击样本，采用各种免杀方式，逃避安全厂商的检测，此前大部分“银狐”黑产团伙使用各种修改版的Gh0st远控作为其攻击武器，远程控制受害者主机之后，进行相关的网络犯罪活动。 近日发现一些“银狐”的最新攻击样本，如下所示： HFS服务器是"银狐"类黑产组织经常使用的文件服务器，从该HFS服务器上下载样本，对样本进行了简单的分析。 样本分析 1.样本采用UPX加壳，如下所示： 2.使用工具脱壳，如下所示： 3.脱壳之后主程序入口代码，如下所示： 4.解密程序中的加密数据，如下所示： 5.待解密的数据，如下所示： 6.解密完成之后，如下所示： 7.解密出来的PayLoad的导出函数，如下 ………………………………