专栏名称: 船山信安
船山院士网络安全团队唯一公众号,为国之安全而奋斗,为信息安全而发声!
今天看啥  ›  专栏  ›  船山信安

朝鲜组织Kimsuky投放xml恶意软件

船山信安  · 公众号  ·  · 2024-10-03 00:00
    

文章预览

前言 样本信息IOC 一个XML恶意样本。 IOC: XML样本下载地址:https://www.filescan.io/uploads/66d9c2130c6cfa135b3cbcb4/reports/2c3bda58-f4da-424e-8d56-22e82ad24d83/details 行为分析 从外部下载脚本 该xml恶意代码使用powershell从外部下载脚本,这里调用 iex 指令执行括号内的字符串。括号内是 iwr 对后面的url发起网络请求,从远程服务器下载脚本。 -WindowStyle Hidden  用于隐藏窗口。 直接访问该URL: 前俩个字节 4d5a 是PE文件头标识  MZ  。 最下方,有部分代码,这里将上面的十六进制数据还原为二进制格式,解码后保存为xBqz.mp3,之后再重命名为exe文件并启动一个新进程执行。这里 -NoNewWindow 避免弹出新窗口,以确保不被发现。 使用cyberchef: 保存为exe文件。 exe文件分析 样本信息 64位GUI,用了UPX打包。 行为分析 1.创建堆和进行初始化 0x100000即为16MB,这里先是用 HeapCreate 创建了一 ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览