文章预览
安全分析与研究 专注于全球恶意软件的分析与研究 前言概述 原文首发出处: https://xz.aliyun.com/t/15520 先知社区 作者:熊猫正正 最近笔者跟踪到“银狐”黑产组织的最新的攻击样本,使用了MSC文件进行传播,对该最新的攻击样本加载母体进行了详细分析,分享出来供大家参考学习。 详细分析 1.初始样本是一个MSC文件,如下所示: 2.该MSC文件内嵌了恶意JS脚本,如下所示: 3.从网上下载0day.xsl文件并加载执行,如下所示: 4.0day.xsl文件包含两个编码的stage数据,如下所示: 5.stage_2解码之后,包含一个PayLoad文件,如下所示: 6.该PayLoad创建相应的文件目录,如下所示: 7.拷贝相关的文件到指定目录,并创建计划任务自启动项,如下所示: 8.从远程服务器上下载文件保存到指定的目录下,如下所示: 9.解压缩Py.zip文件到指定的目录,如下所示: 10.重命
………………………………
