|
样本来源 感谢分享~ 初步研判在卡饭上找样本学习,看到微步未检出c2,进一步看看 SHA256:6097eea67c17b7036081790679cee5da58366345f8709c82a08fd5bdeed6a46e 文件类型为MSI 我们在vt上可疑找到UCore.dll可能有问题 MSI文件释放文件很正常,但是这个目录比较特殊,很多银狐的样本都喜欢往%APPDATA%目录放文件,可疑 行为分析进程行为无子进程 我们运行msi程序后,会弹出setup.exe。应该是用于伪装的白文件,带签名 文件行为释放文件目前可知的如下所示 注册表行为未发现维权行为 网络行为
不过单独执行APPDATA目录下的uc.exe可以找到链接行为
详细分析MSI文件之前分析过,同样按照之前的步骤分析,可以看到调用LaunchApp,我我们根据launchApp进行下一步
找到launchAPP的路径,可以看到调用了uc.exe,这个文件是白的
我们在初步研判中了解到11UCore.dll是可疑文件,我们可以给这个dll改个文件名,看看uc.exe启动会不会报错
所以可以确定,11UCore.dll为黑 该dll导出函数一共有4个
我们先看dllmain,利用APC注入当前线程,导出函数中除run外内容都与dllmain内容相同 我们经过动态调试,得出一下行为,使用inlinehook跳转执行 然后再core函数中解密字符串获取WINAPI,行为先是获取了ProgramData下的11UCore.cpy文件,该文件属于加密数据 代码中获取该文件后,使用异或密钥mysecretkey解密文件 我们把文件解密出来,又是一个dll,无导出函数,只有entry
这里调试比较麻烦,会检测当前进程名 在后续中使用com组件调用计划任务 最后创建如图所示的计划任务,用于启动uc.exe 之后启动线程使用rc4解密update.cab,其key为winos,确定为银狐样本
我们使用脚本解密出dll
一进来就可以看到银狐的特征 我们根据如下特征可以取出c2
把dll单独导入微步云沙箱中也可以看到有针对银狐的检出 IOC52.128.225.124:5555
52.128.225.126:8888
52.128.225.126:7777
c2详细内容可在微步x情报社区查看
| 
发表于 2025-3-15 22:56:35
