针对一个JAVA套CS马的详细分析

文章预览

安全分析与研究 专注于全球恶意软件的分析与研究 前言概述 原文首发出处： https://xz.aliyun.com/t/15308 先知社区 作者：熊猫正正 近日有微信朋友发我一个样本让我看看，如下所示： 在VT上查询，发现该样本的检出率也很低，如下所示： 详细分析了一下发现有点新的玩法，分享出来供大家参考学习。 详细分析 1.样本解压缩之后，如下所示： 2.LNK文件命令行信息，如下所示： 3.LNK文件启动指定目录下的libcurl.dat文件，libcurl.dat文件内容如下所示： 4.通过javaw.exe调用指定目录下的jar包，如下所示： 5.eaio.jar包反汇编之后，如下所示： 6.获取目录下相关文件的内容，为加密的数据和解密的密钥，然后进行解密，如下所示： 7.解密函数，如下所示： 8.加载执行解密后的数据，如下所示： 9.通过JVM加载解密出来的ShellCode，如下所示： 10.编写相关的JAVA测试程 ………………………………