银狐（WinOS 4.0）MSI执行流程

显示全部楼层 · 发表于 2024-10-13 22:37:02

Luna_ovo 发表于 2024-10-13 22:30
没事了，我看成分析工具了...
这个执行的cmd命令和带负荷的7zip命令是怎么查看的?

MDB的控制台

显示全部楼层 · 发表于 2024-10-15 16:05:02

计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\

修改index为0后达到隐藏的效果修改后计划任务依旧生效
知道名字的话还是可以通过schtasks来查询的
而当删除SD后只能通过注册表来排查如果计划任务的名称取的好是比较难排查的
可以通过powershell找没有SD项的注册表地址

$registryPath = "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree"
# 定义函数来递归获取子项并打印没有 "SD" 项的子项的注册表地址
function Get-SubKeysWithoutSD($path) {
$subKeys = Get-ChildItem -Path $path -ErrorAction SilentlyContinue
foreach ($subKey in $subKeys) {
$subKeyPath = Join-Path -Path $path -ChildPath $subKey.PSChildName
$sdValue = Get-ItemProperty -Path $subKeyPath -Name "SD" -ErrorAction SilentlyContinue
if ($null -eq $sdValue) {
Write-Output $subKeyPath
}
Get-SubKeysWithoutSD -Path $subKeyPath
}
}
# 调用函数开始递归获取子项
Get-SubKeysWithoutSD -Path $registryPath

复制代码

显示全部楼层 · 发表于 2024-10-27 02:40:22

本帖最后由 ANY.LNK 于 2024-10-27 02:46 编辑

更新：hotdog.exe，curl.dll功能明晰

hotdog.exe用于Patch AMSI ETW等安全措施

curl.dll为Rootkit，用于保护与持久化（实际测试保护能力不强）

额外发现，在https://bbs.kafan.cn/thread-2275314-1-1.html中的样本中，最终payload也使用了计划任务进行持久化

显示全部楼层 · 发表于 2024-11-13 23:03:47

这是mde吗

显示全部楼层 · 发表于 2024-11-13 23:07:39

chx818 发表于 2024-11-13 23:03
这是mde吗

MDB，算是MDE的轻量化版本

显示全部楼层 · 发表于 2024-11-26 16:57:45

巧了，我今天就中了这个病毒

显示全部楼层 · 发表于 2024-12-24 16:01:34

大佬

[原创分析] 银狐（WinOS 4.0）MSI执行流程

评分

本帖子中包含更多资源