针对一个强对抗红队攻击样本的详细分析

文章预览

安全分析与研究 专注于全球恶意软件的分析与研究 前言概述 原文首发出处： https://xz.aliyun.com/t/14610 先知社区 作者：熊猫正正 近日在微步沙箱平台闲逛的时候，发现一个有意思的样本，如下所示： 沙箱动态检测，相关恶意行为没有跑出来，如下所示： 相关网络行为也没有跑出来，如下所示： 从名字上来看，如果样本是恶意的，猜测这大概率是一个红队样本，但是沙箱没有跑出来，里面肯定包含强对抗技术了，对于这类免杀强对抗型的攻击样本，里面包含很多攻击技术和免杀技术，都值得去深入的分析和研究，从别人的样本中去学习别人的免杀对抗技术。 详细分析 1.样本伪造成企业微信的安装程序，如下所示： 2.遍历当前目录下的文件个数以及对比文件信息，如果不满足条件，则退出程序，这里有三处比较，如下所示： 3.获取系统最近使用 ………………………………