adobereader_dcupd_en_cra_install.exe VT(3/66) #ZeroDay #白加黑

Agu

掛馬網址：
（載體）185.244.213.11/reader/adobereader_dcupd_en_cra_install.exe
（本體）adobemacromedia.com/setup.exe

樣本載點(SHA-256前六碼E93CF7、0C667E，密碼infected)：
https://we.tl/t-l48U0Sz8SR

測試：
載體 - VT(3/66)：https://www.virustotal.com/#/file/e93cf7c4f464ff015bda21fed805744beaf2d631ccd7cc81eb8a434a5bc73775/detection
Any.Run(Suspicious)：https://app.any.run/tasks/abf8e6d5-7c7e-4381-ab4a-258679fe1b20

本體 - VT(11/66)：https://www.virustotal.com/#/file/0c667eff0e47d970aab1ad92d920978ce2d672ed6166ba54cf6ec93eca58bad1/detection
Any.Run(Malicious)：https://app.any.run/tasks/548e324d-ce62-4bcb-b4e4-623e2c2b3f8e

說明：
這次的掛馬相當特別，不算最好的白加黑（因為載體並沒有憑證），但是載體偵測的廠商只有3家（一家還是越南的...），也算是蒙混過關。
直接進入185.244.213.11會導向正規網站www.adobe.com（IP分析見圖一），但是經查證它不屬於Adobe旗下的IP（見圖二），並且有可疑的下載行為，據Any.Run分析，載體在安裝時會試圖連上104.28.5.137（同樣不是Adobe的IP，見圖三）並下載本體，本體的惡意行為暴露無疑。本來以為是誤報，但是經過深入才發現原來是個白加黑。

圖一，正規Adobe網址ISP營運商是Akamai Technologies，位於美國


圖二，載體IP位於法國


圖三，本體IP位於加拿大


不過Kaspersky的檔案信譽都是Unknown，礙於實機我就不執行了

c/mm

载体安装安装之后拦截
本体直接网页拦截

B100D1E55

看来payload不新，已经被dtd云端扫出来了，估计等下就要suspicious object

c/mm

Jerry.Lin

ESET MISS ALL

不过信誉是3个月之前的

彩虹丶//

B100D1E55

191196846 发表于 2018-9-4 23:30
ESET MISS ALL

不过信誉是3个月之前的

载体鉴定为无害

www-tekeze

火绒、智量 miss all 。。

www-tekeze

那个本体setup动作也实在太多了，调用cmd、powershell，注册服务/驱动，修改启动目录，命令行强制删除注册表项，还有多个不同的联网动作。。。这种程序写得也不够高明啊。。     图懒得截了。。。

Miostartos

Norton security
载体信誉杀，本体C秒