#Signed #Fake #Telegram #金眼狗（APT-Q-27）(2022-06-16)

显示全部楼层 · 发表于 2022-6-16 23:49:18

显示全部楼层 · 发表于 2022-6-16 23:53:17

不知道是为啥我这安装了就是找不着恶意dll

显示全部楼层 · 发表于 2022-6-16 23:53:44

本帖最后由 aboringman 于 2022-6-17 01:36 编辑

360: 0

绝境之下

跟上一次一样，倒在了本地QVM的手里（

卫士的拦截记录（无弹窗）

时间操作说明次数
2022-06-03 12:06:30 [自动阻止] 模拟按键防护 1 次
详细描述：
进程：C:\Windows\System32\msiexec.exe "C:\Windows\System32\msiexec.exe" /i "C:\Users\123\Desktop\tsetupx64.msi" , (1, 24)
动作：模拟按键
路径：

复制代码

PS.这个不讲武德的路线跟5楼不同，是另一个世界线上的，不喜勿喷（

Rising：

1 2022/6/17 1:26 C:\USERS\123\DESKTOP\TSETUPX64.MSI>>SkinBase.dll Backdoor.Agent!8.C5D 文件监控 2902F3C3 后门删除成功

复制代码

哦，还有另一个问题，为什么ESET会杀，那是因为躺着中枪的svchost.exe（（上一期我就想说这个了（）

https://www.virustotal.com/gui/f ... 353bcda0c7fcc69892a

显示全部楼层 · 发表于 2022-6-16 23:59:27

huangzihang 发表于 2022-6-16 23:53
不知道是为啥我这安装了就是找不着恶意dll

手动解压
disk1.cab > SkinBase.dll

显示全部楼层 · 发表于 2022-6-16 23:59:37

拦截添加开机自启动

本体与衍生物被自动上传云鉴定，鉴定结果暂未发现风险.....

(不过能被自动上传，就离拉黑不远了，机器分析不出来会转人工分析，需要时间，比另外一条链采用断网攻击都触发不了云上传的情况要更好一点....)

显示全部楼层 · 发表于 2022-6-17 00:00:30

Eset小粉絲发表于 2022-6-16 23:59
手动解压
disk1.cab > SkinBase.dll

*.cab没有与搜索条件相符的项

显示全部楼层 · 发表于 2022-6-17 00:04:46

显示全部楼层 · 发表于 2022-6-17 00:09:50

huangzihang 发表于 2022-6-17 00:00
*.cab没有与搜索条件相符的项

sqlite3.dll生成了吗

显示全部楼层 · 发表于 2022-6-17 00:10:58

本帖最后由 00006666 于 2022-6-17 00:22 编辑

swizzer 发表于 2022-6-17 00:04

你看一下那个BAT，感觉也有问题

直接双击BAT

复制代码

显示全部楼层 · 发表于 2022-6-17 00:17:24

本帖最后由 swizzer 于 2022-6-17 00:20 编辑

00006666 发表于 2022-6-17 00:10
你看一下那个BAT，感觉也有问题

实现持久化的玩意儿。核心还是那个SkinBase.dll

Public\Pictures下面放了base64 decoded的黑dll和白exe

[病毒样本] #Signed #Fake #Telegram #金眼狗（APT-Q-27）(2022-06-16)