某黑产最新远控服务端加载器详细分析

文章预览

安全分析与研究 专注于全球恶意软件的分析与研究 前言概述 原文首发出处： https://xz.aliyun.com/t/15428 先知社区 作者：熊猫正正 近日笔者在威胁情报沙箱平台发现一例有趣的攻击样本，检测率比较低，疑似某黑产最新远控服务端的加载器样本，如下所示： 对该样本进行了详细分析，发现有点意思，分享出来供大家参考学习。 详细分析 1.样本的编译时间为2024年8月14日，如下所示： 2.判断当前进程是否为管理员权限，如果不是管理员权限，则以管理员权限启动，如下所示： 3.从远程服务器上下载加密数据，如下所示： 4.远程服务器URL地址，如下所示： 5.下载的加密数据进行解密，然后加载到内存中执行，如下所示： 6.异或算法解密加密的数据，如下所示： 7.解密完成之后的PayLoad，如下所示： 8.分配相应的内存空间，然后拷贝解密后的PayLoad到内存 ………………………………