银狐黑产组织最新免杀样本详细分析

文章预览

安全分析与研究 专注于全球恶意软件的分析与研究 前言概述 原文首发出处： https://xz.aliyun.com/t/16837 先知社区 作者：熊猫正正 去年使用“银狐”黑客工具的黑产团伙非常活跃，今年这些黑产团伙仍然非常活跃，而且仍然在不断的更新自己的攻击样本，采用各种免杀方式，逃避安全厂商的检测，使用有效的数字签名证书也是一种很有效的逃避安全软件检测的手段。 近日笔者跟踪捕获到一例使用有效数字签名证书的银狐最新样本，对该样本母体加载器进行了详细分析，调用函数都被隐藏执行的时候动态获取函数地址，使用了一些加密手法隐藏信息，同时里面有一些反沙箱的操作有点意思，可以看出这个新样本黑产组织又花了一点心思，分享出来供大家参考学习。 详细分析 1.样本带有正常的数字签名证书，证书信息，如下所示： 2.判断系统是否安 ………………………………