在APT32的分析报告里学习与吸收

文章预览

昨天关注的安全类公众号收到了最新一条推送，内容是知道创宇404高级威胁情报团队发现海莲花（APT32）组织的最新攻击样本，在此期间对该样本进行了分析与举证输出了一篇文章 威胁情报 | 海莲花组织以社保话题为诱饵进行 APT 攻击 。因为笔者有快两年的时候没有关注这类样本了，目前在关注恶意文件自动化检测（automatic detection）。于是怀着感兴趣的心情仔细阅读了分析报告，希望能吸收一些新内容，阅读期间把自己觉得初步看不太明白的内容进行了比较细致地分析，简单记录一下过程，方便自己的学习与思考和未来回顾。 首先会看到文章给出了比较完整的执行流程图，攻击样本最初的形态是Lnk文件，这属于Windows下的快捷方式文件，这类文件类型确实经常出现在恶意文件中，被用来规避一些检测手段。结合之前的一些分析经验，目前来看Lnk文 ………………………………