主要观点总结
本文记录了对一个红队钓鱼样本的分析过程,涉及对压缩包内容的详细解析,包括快捷方式属性、python环境、ftp命令执行等。还提到了使用AI还原混淆代码的过程,包括XOR解密、base64解码、反序列化等步骤。最后提取了原始shellcode并进行了调试分析。
关键观点总结
关键观点1: 分析流程
查看流量,解压样本,分析快捷方式属性,查看python环境及ftp命令执行,解析混淆代码,提取并解密shellcode。
关键观点2: AI还原混淆代码
使用ChatGPT等工具还原混淆的python代码,涉及XOR解密、base64解码等步骤。
关键观点3: Shellcode分析
Shellcode经过sgn编码,通过x64dbg调试发现动态解密过程,最终通过断点dump原始的shellcode,并使用CobaltStrikeParser进行解析分析。
文章预览
作者 论 坛账号: yinsel 记录自己的第一次红队钓鱼样本分析 前言 HVV 遇到了邮件钓鱼,有个样本挺有趣,自己又没分析过样本,于是便想尝试分析一下,并记录下来,同时学习一下红队大佬们的思路,大佬勿喷,讲的比较哆嗦。 详细分析过程 尝试上线分析流量 先尝试上线看看流量,这里我用 proxifier 强制走 Reqable 分析一下流量: 使用了阿里CDN,有点像 CS 的流量: 查一下域名,好家伙还是备案的: 估计用了域前置(我也想用啊 QAQ),话不多说,开始分析! 分析上线流程 样本是一个压缩包,解压后包含一个快捷方式以及一个文件夹: 解压后: 文件夹的内容: 这一看就是打包的一个 python 环境,并且是 embed 版本,可以在这里找到对应的版本下载: https://www.python.org/ftp/python/ 接着查看快捷方式属性: 这种快捷方式我见的比较少,他利用了 ft
………………………………
