针对一个高级红队样本的详细分析

文章预览

安全分析与研究 专注于全球恶意软件的分析与研究 前言概述 原文首发出处： https://xz.aliyun.com/t/15255 先知社区 作者：熊猫正正 近日笔者发现一例红队的样本，使用了一些有趣的手法，同时最后使用了一个开源的C2工具，对该样本进行了详细分析，分享出来供大家参考学习。 详细分析 1.样本解压缩之后是一个LNK快捷方式，如下所示： 2.LNK快捷方式调用命令行等信息，如下所示： 3.运行之后相关进程信息，如下所示： 4.会读取快捷方式文件的内容，并异或解密之后，在指定生成恶意模块，同时拷贝相应的程序到指定目录，最后在指定目录生成的文件，如下所示： 5.解密出恶意模块内容，如下所示： 6.启动%temp%目录下生成的PDF欺骗受害者，同时调用WerFault.exe程序，使用白+黑加载恶意模块，如下所示： 7.获取相关函数地址，如下所示： 8.修改进程代 ………………………………