前言
朋友微信找到我,说某微信群利用0day通告进行钓鱼,传播名为“终端安全自检工具”的恶意文件,然后还给了两个IP地址,如下:
咱们就来详细看看这个工具吧。
样本信息
拿到样本,样本的图标,如下所示:
编译时间为2021年4月8号,如下所示:
看来作者编译完,就迫不及待的去传播了,运行样本之后,弹出未发现异常的对话框,如下所示:
会玩,会玩。
详细分析
1.样本母体会读取自身资源数据,然后解密生成Consoles.exe程序,如下所示:
2.Console.exe程序解密资源数据,解密出来的数据,如下所示:
3.然后启动svchost.exe程序,将解密的资源数据,注入到svchost.exe进程中执行,如下所示:
4.动态调试注入到进程中的代码,如下所示:
5.代码会解密代码到另外一块内存中执行,然后释放原内存中的代码,解密后的内存代码为CS后门程序,相应的网络连接请求数据,如下所示:
IP和URL数据信息,如下:
106.117.252.172,/jquery-3.3.1.min.js
111.62.79.149,/jquery-3.3.1.min.js
121.29.54.59,/jquery-3.3.1.min.js
113.137.62.36,/jquery-3.3.1.min.js
111.19.244.43,/jquery-3.3.1.min.js
116.177.248.23,/jquery-3.3.1.min.js
122.246.6.14,/jquery-3.3.1.min.js
6.然后与远程进行网络通信请求,如下所示:
样本基本上分析完了,里面包含一些反调试反沙箱技巧,所以导致一些沙箱引擎没有检测到危险,笔者在VT上查了一下这个样本,VT上目前也只有12款杀软报毒,如下所示:
威胁情报
HASH
13DEE6E2944D670CD81858E119F7D530 终端安全自检工具.exe
D29AA5960A2E329ECCE3C11CC1932A20 Consoles.exe
C&C
106.117.252.172
111.62.79.149
121.29.54.59
113.137.62.36
111.19.244.43
116.177.248.23
122.246.6.14
相信最近大家一定都挺忙的,我和我的团队每天都会捕获各种恶意软件家族样本,期间也会接收到各种来自四面八方的恶意样本,发现一些恶意样本里面使用的攻击技术越来越复杂了,需要花费我们大量的时间和精力去详细分析,里面有些是真实的黑客攻击事件样本,有些是H_V_V红队的样本。
h_v_v期间请大家注意身体,只有平时多多苦练,多多积累,多多提升自己的实战能力,h_v_v的时候才能玩的得心应手。
总结
最后,祝大家在h_v_v中都能取得好的成绩,h_v_v迟早会结束,很短暂,但安全问题会一直存在,全球各地每天其实都在发生各种真实的黑客组织攻击事件,而且后面一定会越来越多,很多安全攻击事件都值得去深入分析研究,还有更多的安全事件没有被发现,奈何笔者精力实在有限,那么多的安全事件也没办法给大家一一去分析,只希望通过自己的努力尽量帮助到一些人吧,安全可以做的事太多了,需要做的事也太多了,做安全不要过度娱乐化了,需要大家静下心来,踏踏实实做点事,还是那句话:做安全,不忘初心,方得始终。
安全的路很长,贵在坚持!
