|
样本来源 感谢分享~ 初步研判SHA256:e9d9c08378112e060ea4c94f06c016108c300d291a48a507b771598db2e03eec 文件使用Smart Install Maker打包,对于文件本身就不多看了,直接看释放的文件 在文件运行后可以看到先是释放了很多文件,但是没有看到外连,应该是被反沙箱拦住了 不过从行为上可以看到一部分检测,猜测与评论中的回滚相关 行为分析进程行为如图所示,创建overseer进程 文件行为文件运行后在桌面创建了360安装包(带数字签名)的lnk 再往细看,发现给我装了好多奇奇怪怪的软件。。但是都是安装包还得我自己点?应该都是伪装 注册表行为没发现维权行为 但是这做戏做全套,没有Uninstall.exe还要加上注册表信息 网络行为有外连行为,本来以为是下载360安装包的内容,结果位置不在国内 ip比较可疑 详细分析前面总共是释放了360,有道的压缩包,在overseer - 副本.exe中连接了avast的下载网址,最后放出了白加黑的notepad++目录 这是连接的网址,应该是白的,这个应该就是上面的ip域名了
https://s-overseer.avcdn.net/too ... 64/overseer.exe.def本想从overseer - 副本.exe开始跟踪,奈何实力有限,我们就直接看二段释放的GUP,也就是notepad++ 我们单独做网络分析,可以发现其访问了如下ip 在x社区中可以看到该ip已判黑 我们看到和正常的文件对比,多了两个加密文件,然后libcurl.dll被改写,数字签名掉了 可以看到如下主程序CUP调用了同目录下的黑dll 方便起见,就不一步一步分析了,直接全下断点,看看url什么时候被发送 后续查看检查了进程中的安全软件进程
我们后续在ws2_32 api下断,直接就断到了ip,然后查看堆栈,,发现在内存中,是一个pe文件,我们试试在创建内存时下断
我们重新执行,可以看到获取了读取了加密数据,然后下一个内存就可以获取到pe文件
我们下内存断点可以发现key为如下所示
我们根据以上信息可以得出,加密数据是由LICENSE来的,之前没注意看
然后我们下内存断点就可以取出没有内存对齐的正常dll了,不过还有其他办法
我们也可以使用pebear把内存对齐,就可以正常分析了
这就是载荷了,我们对此文件进程分析,可以了解其基本的信息
创建互斥体
如果是分析环境就不链接c2 c2如下 IOC27.124.32.36
| 
发表于 2025-3-17 22:05:07
楼主