利用MSIX安装包传播恶意软件攻击样本的详细分析

文章预览

安全分析与研究 专注于全球恶意软件的分析与研究 前言概述 原文首发出处： https://xz.aliyun.com/t/14111 先知社区 作者：熊猫正正 MSIX是一种Windows应用包格式，可以为所有Windows 应用提供现代打包体验， MSIX 包格式保留了现有应用包和安装文件的功能，此外它还为Win32、WPF和Windows窗体应用启用了全新的现代打包和部署功能。 从去年年底开始，全球范围内越来越多的攻击者开始使用MSIX类型的安装包传播各种恶意软件，这些MSIX安装包样本大多数包含正常的数字签名，下面针对一些MSIX安装包样本进行详细分析。 样本分析 1.MSIX大多数样本都带有正常的数字签名，如下所示： 2.安装程序运行之后，会调用执行StartingScriptWrapper.ps1脚本，如下所示： 3.然后执行refresh.ps1恶意脚本，如下所示： 4.研究一下MSIX安装包是如何调用恶意PS脚本的，首先MSIX安装包会更改 ………………………………