|
样本来源如下,感谢分享~ 初步研判SHA256:7c5300cd3875efea725f51d089412b81922d81dc60d2420090aaede92a16477e 把压缩包整体丢入微步云沙箱中,可以看到样本已被判黑 检测系统判断为银狐样本
行为分析中hook到了可疑ip,不过是国内的,先保留 内存dump的文件基本都为恶意 文件分析如图所示,大概率是一个白加黑
行为分析进程行为没有子进程调用 我们可以看到文件加载了文件分析中的可疑dll 文件行为只写入了日志文件 注册表行为如图所示写入了很多注册表但是大部分为CLSID,与权限维持无关 网络行为,和初步研判中的ip一致 详细分析我们进入黑dll,导出函数只有两个,main中无内容 还有一个函数为空,应该都是用于白文件调用时不报错创建的 所以我们就只需要看DataImporterMain()了 首先是一段意义不明的运算,跟核心功能没什么关系,我们暂且略过 然后把字符载入到了this中 接下来把上面传的字符串导入下一个函数 在此函数中,查询启动目录 C:\Users\<用户名>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup这里缺少一个C://Users//Public//Documents//WallPaper.lnk,可能需要用户在看看,这个文件会被复制到<用户名>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup目录下。这两个文件都需要删除 不过这并不影响我们后续的分析,因为不管有没有,文件运行后都会执行shellcode 根据分析,.c文件的数据解密方式为先异或key hex: 12 34 56 78 然后取反就可以得到shellcode了,然后调用载荷 载荷就不做详细的分析了,一看就是模板 稍微截取一下c2 单独把shellcode转成pe,丢进微步云沙箱中就可以看到家族类型 同样也可以找到特征 IOC 154.198.53.165根据c2丢入x情报社区,可以发现已被归类为银狐c2
| 
发表于 2025-3-25 13:14:46
