朝鲜组织Kimsuky投放xml恶意软件

文章预览

前言 样本信息IOC 一个XML恶意样本。 IOC： XML样本下载地址：https://www.filescan.io/uploads/66d9c2130c6cfa135b3cbcb4/reports/2c3bda58-f4da-424e-8d56-22e82ad24d83/details 行为分析 从外部下载脚本 该xml恶意代码使用powershell从外部下载脚本，这里调用 iex 指令执行括号内的字符串。括号内是 iwr 对后面的url发起网络请求，从远程服务器下载脚本。 -WindowStyle Hidden  用于隐藏窗口。 直接访问该URL： 前俩个字节 4d5a 是PE文件头标识  MZ  。 最下方，有部分代码，这里将上面的十六进制数据还原为二进制格式，解码后保存为xBqz.mp3，之后再重命名为exe文件并启动一个新进程执行。这里 -NoNewWindow 避免弹出新窗口，以确保不被发现。 使用cyberchef： 保存为exe文件。 exe文件分析 样本信息 64位GUI，用了UPX打包。 行为分析 1.创建堆和进行初始化 0x100000即为16MB，这里先是用 HeapCreate 创建了一 ………………………………