网安原创文章推荐【2024/7/25】

文章预览

2024-07-25 微信公众号精选安全技术文章总览 洞见网安 2024-07-25 0x1  近期某Rust钓鱼样本分析 红蓝攻防研究实验室 2024-07-25 19:19:20 近期分析了一款名为“360自查工具.exe”的钓鱼样本，该样本伪造了360的签名并使用Notepad++图标作为伪装。初步观察发现它直接与C2服务器通信而未实施其他行为。通过IDA逆向工程确认其为Rust语言编写，并发现样本含有环境检查和调用CMD的功能。分析表明样本可能利用APC机制执行Shellcode。由于样本包含PDB路径，因此分析过程较为简单。经研究，该样本使用了一个开源的RustLoader生成，用于加载经过加密的Shellcode。RustLoader的主要流程包括加密Shellcode、编译Loader并对其进行签名。进一步分析发现，Loader解密Shellcode后将其写入内存并通过APC执行。样本在调试器中设置断点于VirtualProtect函数，以捕获Shellcode的加载位置及大小。解 ………………………………