【新澳门内部资料精准大全】 |
【2024澳门天天开好彩大全】 |
【管家婆一肖-一码-一中一特】 |
【澳门一肖一码必中一肖一码】 |
【2024澳门正版资料免费大全】 |
【澳门一肖一码100准免费资料】 |
【2024澳门特马今晚开奖】 |
【2024正版资料大全免费】 |
【2024澳门天天开好彩人全】 |
【2024澳门天天六开彩免费资料】 |
【澳门今晚必中一肖一码准确9995】 |
【澳门资料大全正版资料2024年免费】 |
【澳门2024正版资料免费公开】 |
【澳门天天开彩好正版挂牌】 |
【2024澳门天天六开彩免费资料】 |
【澳门一码一肖一特一中2024】 |
【澳门管家婆一肖一码100精准】 |
【澳门王中王100%的资料】 |
【今期澳门三肖三码开一码】 |
【2024澳门天天开好彩大全】 |
【2024一肖一码100精准大全】 |
【494949澳门今晚开什么】 |
【香港二四六开奖免费资料】 |
【澳门平特一肖100%免费】 |
【7777888888管家婆中特】 |
【澳门一肖一码100%精准一】 |
参考以下文章:
以快连VPN歹意安装包为例,进犯流程以下。
当正在搜索引擎外搜寻“快连VPN”时,会正在搜寻效果外涌现托管歹意安装包的水坑网站(letssvpn[.]vip),域名试图摹仿快连VPN的英文名LetsVPN。攻击者能够对于该网站作了SEO优化,使其涌现正在搜寻效果的首页。
进入水坑网站,间接展现下载页面,两个选项指向同一个下载链接。下载的ZIP压缩包外包孕一个MSI安装文件。
安装程序
安装包文件的根本Message以下。
MD5 | dddbd75aab7dab2bde4787001fd021d3 |
文件名 | Kuaivpn-n-3.msi |
文件大小 | 43.34 MB (45449728字节) |
VT上传工夫 | 2024-03-12 09:52:33 UTC |
个中包孕kuaivpn.exe文件,安装程序将其开释到”C:Program FilesKuaivpnKuaivpnKuai dataemoji”目次高并运转。
恶意软件kuaivpn.exe的根本Message以下。
MD5 | 94d05e7b1b18869de70047e08f2ca1e7 |
文件名 | kuaivpn.exe |
文件大小 | 26.60 MB (27893248字节) |
创立工夫 | 2024-03-01 09:58:11 UTC |
PDB门路 | D:\zm\9.14\ProxyDll\7.2\11.12\k\KUAI\letsvpn\MQQAppearance\x64\Release\MQQAppearance.pdb |
VT上传工夫 | 2024-03-12 10:55:06 UTC |
kuaivpn.exe开释”C:ProgramDatackq”,开释文件现实为ZIP压缩包,个中包孕失常的快连VPN安装程序。而后kuaivpn.exe从文件外部嵌套的DATA外解密没一个DLL文件并加载,挪用其导出函数'_levnc'。
解密DLLDATA的体式格局为按字节减9,而后异或0x27。
DLL的导出函数_lenvc起首检测样本能否被调试。还会检察CPU数目能否小于2,和物理内存大小能否没有低于3GB,但这些检测现实并不启用。
组装用于寄存白加乌组件的目次门路,留存目次正在”C:ProgramData”高,以随机字符串定名。值得注意的是,目次称号前面跟”_n”,最初的木马会依据这个后缀挑选衔接的C2服务器。
开释并运转BAT剧本,经由过程注册表配置敞开UAC提醒。
内置的ZIP压缩包解压到下面指定的目次外,解压密码正在代码中硬编码,为"@Sp15p%"。
白加乌组件外的歹意DLL拆分为了c以及k两个文件。
通过”C:ProgramDatackq”外解压没失常的安装程序letsvpn-latest.exe。
用copy号令将c以及k分开为libemb.dll。
运转letsvpn-latest.exe用以利诱受害者,同时启动fhbemb.exe,并删除ckq压缩包以及中心文件c、k。至此,安装程序kuaivpn.exe实现操纵。
Loader
fhbemb.exe经由过程动静加载的体式格局挪用libemb.dll的导出函数ProcessMain。
歹意DLL为Loader步伐,导出函数ProcessMain寻找异目次高的LP.TXT文件,从中解密出远控木马并加载运转。
经由过程ntdll.dll猎取API,正在解密以后再挪用RtlDecompressBuffer解压,规复出待加载的PEDATA。
木马
木马程序为利用HP-socket通讯库的修改版gh0st RAT。起首会检测能否被调试,和CPU数目以及物理内存大小。
木马内置多个C2服务器的IP以及端口,正在函数MwInitC2List(sub_1001F6FD)外初始化包孕这些C2Message的加密字符串。
函数MwCheckAndChooseC2(sub_1001FF01)顺次异或解密这些字符串,并取木马历程对应的EXE文件地点目录名停止比对于:若是解密字符串正在”|#$|”分隔符以前的全体以及目录名外”_”以后的字符串雷同,则挑选个中的IP以及端口作为C2服务器。而若是一切字符串皆不克不及立室,则加入步伐。攻击者经由过程这类体式格局包管木马程序正在盼望的运转情况中才会提议网络通信。
解密包孕C2Message的加密字符串,所得效果以下,去掉能够用于测试的内网IP(192.168.0.225)以及内陆回环地点(127.0.0.1),共触及44个IP。
若是木马程序不管理员权限,则实验以管理员身份从新运转,若是曾经具有管理员权限,则树立耐久化。
树立耐久化时,先将白加乌组件复制到新创建的目次高,仍保存雷同的目录名后缀(这里是”_n”)。而后创立名为"Windows Eventn"的办事指向EXE文件的新地位。
依据完成远控指令的函数能够看出,木马支撑经由过程插件扩大功效。
发表评论
2024-06-17 08:08:40回复
2024-06-17 08:08:40回复
2024-06-17 08:08:40回复