1
wuhaisen OP |
2
frencis107 98 天前
|
3
wuhaisen OP @frencis107 感谢,这页面做的还挺真
|
4
restkhz 98 天前 1
网站伪装成什么税务检查,要下载什么玩意儿,给弹一个 exe 马要下载。
部署的有点好玩,云下载但他加了一个 php 访问计数。所以访问计数器的时候你这可以把他 php 计数器脚本直接下载下来。不知道是因为批量部署还是因为攻击者没有 web 技术。 然后这个计数脚本像 chatGPT 生成的,你发的那个链接那部分 AJAX 可能也是 chatGPT 生成的。 马还不错,看着沙盒分析这个马走的流程挺漂亮的,反调试反沙箱,加密的 shellcode 伪装成图片下载,本地解密后加载。但是感觉好像有人修补过像二创或者几创了。沙盒猜这个是银狐。 回答你的问题:这个网站就骗你下载 exe 马。背后人应该就是对公司企业商业数据有兴趣的那种。 |
5
iceme 98 天前
hw 钓鱼吧
|
6
asdgsdg98 98 天前
下载了用卡巴斯基扫描,提示安全……
杀毒软件也不靠谱啊 |
8
proxytoworld 98 天前
一个垃圾病毒罢了,混淆都没做,读取钉钉、qq 那些数据,执行代码。
|
9
proxytoworld 98 天前
@restkhz 真的写得不错嘛?一点技术都没看出来
|
11
Ackvincent 98 天前
已上报
|
12
Harharhar 98 天前 1
一眼银狐组织。最近非常活跃,攻击流程主要是针对财务人员进行钓鱼,拿到机器控制权后通过被控机上的 微信/钉钉/QQ 横向传播。
同时会利用社交软件中的好友/群聊关系获取高价值的目标进一步钓鱼,最终目的是经济利益,比如诈骗、金融账户的账户密码 |
13
restkhz 97 天前 4
@asdgsdg98 是这个样子的。其实卡巴已经很严格了,WD 就更牛逼了。
@proxytoworld 也可能是我比较菜,不过我还是想解释一下为什么我说好。 你看到的这个程序只是一个加载器,只有 196kb 。真正的恶意部分不在这里。莫名其妙混淆加壳只会增大嫌疑。 本体其实是在网络上的机器码。和 0x69 按位异或(简单加密一下),伪装成图片被它下载下来的。这个“图”有 4.5MB 。 好,那么从哪里下载下来的?沙盒分析出来了。但是你要自己逆向的话也可以。这个 URL 没有加密,但在.data 段里故意被拆分开来。应该是为了防止直接被杀软识别出程序里打开 URL 的 API 直接有对应的 URL 。编写的人应该是有经验的。 然后这个加载器会在内存里开辟一块空间,然后把解密后的机器码放进去,加执行权限,上个函数指针,而后调用。 这个开辟空间用的函数都是动态加载的,但是也没有用 LoadLibrary ,感觉挺别致的。这个技术我真不会。 那为什么一个加载器对 dingding 和 QQ 感兴趣? 这里我没有逆向出原因,但是我猜测这是为了精确攻击的一个方法。没 QQ 或者钉钉的机器可能不是他的目标,哎,我就直接把自己删了,而后退出。防止搞到处都是被人捕捉分析。毕竟免杀马要花钱的。但是不知道为什么似乎在沙箱里没被激活这个 kill switch.当然功能上我也没有继续分析了。 简单说一下那个 4.5M 的机器码吧,解密后翻转,里面东西就很丰富了。有 C2 地址,还有很多杀软的名字和路径,还有很多预先定义好的命令......甚至有一个开票软件的下载 URL ,所以不排除在成功运行后下载一款真的增值税开票软件...... 顺便,那个 c2 也下了一点功夫隐藏自己。 我不想说整个攻击链的下游水平怎么样,但是我觉得这个马是可以的。算是有花心思策划过的而不是直接上个 CS 或者什么玩意儿。 我就不继续深挖了。 |
14
proxytoworld 97 天前 1
@restkhz 这个 loader ,直接就用 getprocaddr virtualalloc 这些 api 函数,特征太明显了,字符串还是硬编码的,简单的异或都没有,高级一点的都是用 hash 去找函数 去 hook ,甚至自己 load 进内存解析,这些都是很成熟的技术了,动态调用 api 。
高级免杀技术往往都是很复杂的 |
15
proxytoworld 97 天前
甚至 upx 壳都不愿意加一个
|
16
Tink 97 天前
银狐啊,前两天公司有人中了
|