针对一个疑似红队样本的详细分析

文章预览

安全分析与研究 专注于全球恶意软件的分析与研究 前言概述 原文首发出处： https://xz.aliyun.com/t/16318 先知社区 作者：熊猫正正 近日微信朋友发给笔者一个样本，说沙箱跑不出来，让笔者帮忙看看，如下所示： 分析完之后，发现有点意思，分享出来供大家参考学习。 详细分析 1.样本解压缩之后,恶意文件被设置为系统隐藏属性，如下所示： 2.恶意模块的编译时间为2024年10月15日，如下所示： 3.采用白+黑的加载方式，加载恶意模块，如下所示： 4.通过分析发现它的恶意代码隐藏在cef_enable_highdpi_support导出函数，如下所示： 5.跳转执行到恶意代码，如下所示： 6.定位同目录下的加密数据文件log.dat，如下所示： 7.读取加密数据到内存当中，如下所示： 8.解密加密的数据，如下所示： 9.解密后的PayLoad，如下所示： 10.分配相应的内存空间，将解密的PayLoad ………………………………