样本分析
·5ffefc13a49c138ac1d454176d5a19fd – EK释放的下载器
·b508908cc44a54a841ede7214d34aff3 –恶意安装器(MinerBlocker)
·e5ba5f821da68331b875671b4b946b56 –注入python的主DLL
·596dc36cd6eabd8861a6362b6b55011a – injecteex64 (注入浏览器的DLL,64位)
·645176c6d02bdb8a18d2a6a445dd1ac3 – injecteex86 (注入浏览器的DLL,64位)
行为分析
安装
利用套件释放的主执行文件是一个下载器。这个下载器非常简单,并且没有混淆。可以看到资源中的脚本:
这看起来像一个拦截恶意挖矿机的合法应用。但是研究人员没有找到类似产品相关的网站。
在js目录中,可以看到一个JS脚本文件i.js:
2)可能被攻击的浏览器进程列表:
通过在注册表中运行key来达到驻留的目的。
将该脚本与js目录中的脚本对比:
PE header定义片段:
重定向执行到入口点。然后可以找到解混淆的加载器。
注入器会从配置文件中取回传递的参数。可以看到这并不是之前脚本传递的参数。
开发者预留了一些调试字符串,这就让执行流很容易明白。
hooking函数是这事件的标准类型。负责接收特定输出函数的地址,然后重写重定向到含有恶意DLL的函数的开头。
目标是分割证书的函数(Crypt32.dll)和发送接收数据的函数(ws32_dll):
From ws32_dll:
监听函数的开始:
文章知识点与官方知识档案匹配,可进一步学习相关知识Python入门技能树首页概览208551 人正在系统学习中 相关资源:SQLPrompt6.2.0.366官方原版+注册机破解(吾乐吧软件站分享)-数据…
来源:weixin_39980929
声明:本站部分文章及图片转载于互联网,内容版权归原作者所有,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!