最近半个月都在学《恶意代码分析实战》,想拿真实的恶意软件进行分析一下。正好朋友发了一个过来。(应该是护网的钓鱼文件)

0x01 文件分析

总共包括三个文件:2021年机关员工(子女)名单.exe、name1.jpg、name2.jpg

2021年机关员工(子女)名单.exe:程序是golang编译的,分析起来有点困难。所以没有进行分析,只是看了一下会有什么行为。

name1.jpg为exe
name2.jpg为dll导出了InitBugReport函数,且该函数存在异或解密shellcode的行为。

0x02 行为分析

开启Fake-ng,process monitor和process explorer进行行为监控。在虚拟机中执行程序之后会将nam1.jpg保存为yyexternal.exe

有迷惑性,让人以为是正常的yy程序

name2.jpg会保存为crashreport.dll。之后yyexternal会动态加载crashreport.dll并调用InitBugReport。

0x03 name2.jpg静态分析

加载shellcode的功能都在nam2.jpg(其实是dll)中所以主要分析这个文件。
主要是3个步骤循环:
第一:将byte_100277A8开始偏移%6==3地址上的内容复制到shellcode中
第二:将shellcode循环与!@ASDasd3#@异或解密
第三:将解密后的shellcode复制到VirtualAlloc地址并跳转执行。

如何获取shellcode?
1.脚本解密
2.动态内存dump

这里选择了第二种方法,修改文件名为name2.dll,用OD打开dll,在强制修改EIP为InitBugReport。将shellcode保存下来。

0x04 shellcode分析

最关键的点是偏移0x66会将遍历到的函数hash与目标hash进行比较,如果相关会在0x86处调用。在0x86下断点可以知道shellcode调用的所有函数。

第一次调用LoadLibraryA(“wininet”)

第二步调用InternetOpenA连接27.152.180.223的80端口

第三步调用InternetConnectA

第四次调用 HttpOpenRequestsA 获取/W9ff

第五次调用HttpSendRequestA 使用指定UA去发生请求

因为网站的/W9ff已经没了,所以会请求失败,调用ExitProcess。为了猜测下载文件的作用是什么。可以修改跳转指令。看看后续操作。如果请求失败就会调用ExitProcess。修改标志位Z=0

最后跳转到了新的shellcode执行代码。因为前面都是强制修改了标志位,所以实际并没有shellcode读入。

0x05 总结

shellcode应该是脚本生成的(类似这个https://gist.github.com/jdferrell3/4db966da06f4fa77816a54d802aca0f8)
样本应该是护网的钓鱼文件。

貌似就是一个项目编译出来的三个文件。

初入门径 --- 护网钓鱼样本分析相关推荐

  1. 记一次粗浅的钓鱼样本分析过程

    原创稿件征集 邮箱:edu@antvsion.com QQ:3200599554 黑客与极客相关,互联网安全领域里的热点话题漏洞.技术相关的调查或分析,稿件通过并发布还能收获200-800元不等的稿酬 ...

  2. 护网中的分析研判岗有多重要

    护网中分析研判是属于高级工程师的工作,是攻防演练能否获胜的核心 响应作为遏制攻击.缩小攻击影响面的具体执行阶段,被视为攻防演练中的关键一步.但在对检测到的事件进行处置之前,有一个对事件从识别到评估的过 ...

  3. 护网中的分析研判岗工作内容

    护网中分析研判是属于高级工程师的工作,是攻防演练能否获胜的核心 响应作为遏制攻击.缩小攻击影响面的具体执行阶段,被视为攻防演练中的关键一步.但在对检测到的事件进行处置之前,有一个对事件从识别到评估的过 ...

  4. 萌新学Java之初入门径

    字符串 String 位于java.lang包 * 使用lang包 不用导入头文件 * 字符串特点: 字符串是常量 * (一般字符串的方法 都是有返回值的 拼接) * 字符串使用跟基本数据类型一样 / ...

  5. 聊聊护网中常见钓鱼攻击思路

    每日一句:HW中,红队.蓝队都会很累.没有说哪个会更强一些,毕竟道高一尺魔高一丈. 一.网络钓鱼 01.一些简介~钓鱼属于社会工程学~在18年的红蓝对抗还不怎么常见,~在19年的时候就比较泛滥了02. ...

  6. 一款专门针对高质量女性的易语言钓鱼样本简单分析

    本文首发于合天智汇:网络靶场_在线网络安全学习平台|合天智汇 由于一直没怎么分析过易语言的样本,想学习一下易语言的样本分析过程,正好最近碰见了一个易语言编写的样本,是一个专门针对人类高质量女性进行钓鱼 ...

  7. NetInside网络安全分析保障某港口护网行动(二)

    前言 某港口已部署流量分析系统,在护网攻防期间,使用流量分析系统提供实时和历史原始流量,以供安全取证.应用事务分析.网络质量监测以及深层网络分析. 分析与采集说明 为了便于分析使用,在攻防期间,流量分 ...

  8. 2022护网日记,护网工作内容、护网事件、告警流量分析

    「作者主页」:士别三日wyx 「作者简介」:CSDN top100.阿里云博客专家.华为云享专家.网络安全领域优质创作者 2022护网日记 一.监控设备 二.工作内容 三.安全事件 1)失陷主机排查 ...

  9. 2023护网日记,护网工作内容、护网事件、告警流量分析

    2023护网日记 一.监控设备 二.工作内容 三.安全事件 1)失陷主机排查 2)后门网站修复 四.告警流量分析 1)信息泄露 2)SQL注入 3)文件上传 4)XSS(跨站脚本) 5)代码执行 今年 ...

最新文章

  1. Datawhale学习的常见问题解答!
  2. 网站架构相关PPT、文章整理(更新于2009-7-15)
  3. Zabbix 监控TCP的SYN,establised
  4. SpringBoot Quartz 定时任务详解
  5. mac下SecureCRT连接阿里云服务器最新教程
  6. linux误删ssh不上,误删openssh-server删除,复原操作
  7. 你为什么要关心equals和hashcode
  8. 台式电脑耳机插孔在哪_吉林戴尔电脑音箱维修app,查看详情_曹操闪修
  9. logstash 过虑nginx访问日志
  10. arduino编程时加{}报错_使用Arduino开发板时最常见的10个错误
  11. 汉字转拼音Pinyin4j工具(C#、Java都可用)
  12. 什么是少儿Python编程?
  13. msys2+mingw32环境搭建
  14. STM32——触摸屏实验-电阻型触摸屏-M4
  15. 【YOLOV5-5.x 源码解读】common.py
  16. python网盘下载文件_python下载文件的几种常用方法
  17. CS01/CS02/CS03 BOM修改 CSAP_MAT_BOM_MAINTAIN
  18. 【软路由】openwrt 搭建个人NAS-超简单
  19. 手把手教你开发Pro/TOOLKIT应用程序(一)
  20. 独角兽项目 1 - 替罪羊

热门文章

  1. sony z3 android 5.1,索尼开始向Xperia Z2、Z3等设备推送安卓5.1更新
  2. excel打印预览在哪里_Excel文档打印,这些步骤不能丢
  3. 乔布斯:人常怀激情可以让世界变得更美好
  4. 如何自己搭一个脚手架
  5. 分时问候(Java实现)
  6. JVM 虚拟机原理、Java 代码优化、秒杀系统
  7. vivo计算机的功能是什么意思啊,如果你的手机能投到电脑上操控,你会用它做什么?...
  8. mysql error3118 account denid啥.. 反正数据库账户被锁定问题解决方案
  9. 教育部公示:25所新大学来了!
  10. Access查询中如何调用自定义函数