针对银狐一些最新攻击样本加载过程的调试分析

文章预览

安全分析与研究 专注于全球恶意软件的分析与研究 前言概述 原文首发出处： https://xz.aliyun.com/t/14440 先知社区 作者：熊猫正正 去年使用“银狐”黑客工具的黑产团伙非常活跃，今年这些黑产团伙仍然非常活跃，而且仍然在不断的更新自己的攻击样本，采用各种免杀方式，逃避安全厂商的检测，免杀对抗手法一直在升级，近期一些朋友通过微信发给笔者几个使用“银狐”黑客工具的黑产团伙的最攻击样本让笔者看看，笔者针对这些攻击样本的前期加载过程进行了详细分析，分享给大家。 样本分析 样本一 1.样本使用UPX加壳，样本编译时间在2024年2月，如下所示： 2.脱壳之后，从黑客服务器上下载恶意文件到指定目录，然后执行，如下所示： 3.查看黑客服务器上的文件，如下所示： 4.下载的恶意样本也采用UPX加壳，如下所示： 5.调用VirtualAlloc分配 ………………………………