@
asdgsdg98 是这个样子的。其实卡巴已经很严格了,WD 就更牛逼了。
@
proxytoworld 也可能是我比较菜,不过我还是想解释一下为什么我说好。
你看到的这个程序只是一个加载器,只有 196kb 。真正的恶意部分不在这里。莫名其妙混淆加壳只会增大嫌疑。
本体其实是在网络上的机器码。和 0x69 按位异或(简单加密一下),伪装成图片被它下载下来的。这个“图”有 4.5MB 。
好,那么从哪里下载下来的?沙盒分析出来了。但是你要自己逆向的话也可以。这个 URL 没有加密,但在.data 段里故意被拆分开来。应该是为了防止直接被杀软识别出程序里打开 URL 的 API 直接有对应的 URL 。编写的人应该是有经验的。
然后这个加载器会在内存里开辟一块空间,然后把解密后的机器码放进去,加执行权限,上个函数指针,而后调用。
这个开辟空间用的函数都是动态加载的,但是也没有用 LoadLibrary ,感觉挺别致的。这个技术我真不会。
那为什么一个加载器对 dingding 和 QQ 感兴趣?
这里我没有逆向出原因,但是我猜测这是为了精确攻击的一个方法。没 QQ 或者钉钉的机器可能不是他的目标,哎,我就直接把自己删了,而后退出。防止搞到处都是被人捕捉分析。毕竟免杀马要花钱的。但是不知道为什么似乎在沙箱里没被激活这个 kill switch.当然功能上我也没有继续分析了。
简单说一下那个 4.5M 的机器码吧,解密后翻转,里面东西就很丰富了。有 C2 地址,还有很多杀软的名字和路径,还有很多预先定义好的命令......甚至有一个开票软件的下载 URL ,所以不排除在成功运行后下载一款真的增值税开票软件......
顺便,那个 c2 也下了一点功夫隐藏自己。
我不想说整个攻击链的下游水平怎么样,但是我觉得这个马是可以的。算是有花心思策划过的而不是直接上个 CS 或者什么玩意儿。
我就不继续深挖了。