一个远控的研判

显示全部楼层 · 发表于 2025-4-7 21:00:08

初步研判

样本来源，感谢分享~

SHA256：67a16b6caf08c0796e5ccce7abec3066afe24f0d00ea0b61903d950635e1f8b4

文件在微步云沙箱中已判黑

行为分析进程行为

执行msi的同时还执行了创建还原点操作，让系统还原时依旧处于被植入状态

文件行为

如下图所示，文件释放了很多文件，大部分为正常的有道词典的子文件，还有复制自身的msi

网络行为

未检出

注册表行为

未发现明显维权行为

详细分析

文件属于MSI

我们依然使用Ocra来分析，可以看到File字段文件一大堆，我们暂且跳过

行为中也没有什么特别可疑的内容

使用MSVBDPCADLL执行导出函数，不过没有恶意行为，仅用于检测安装环境

所以判断主程序并无恶意行为，需要点击白加黑文件才能执行恶意行为

然后我们来看看白加黑，运行文件目录下带了一个dll，而且没有数字签名，很容易就能想到可能存在dll劫持

该dll和标准文件的主要区别在dllmain中，原dll无内容，而黑dll有

内部又调用了res.data

文件属于Donut编译的shellcode，我们尝试执行就可以拿到c2

c2

ya.kongff.com

156.251.17.117:6543

远控在微步云沙箱中已判黑

显示全部楼层 · 发表于 2025-4-7 21:17:28

感谢分享，怪不得安装的时候HMPA不报，装完后双击主程序就报了

显示全部楼层 · 发表于 2025-4-7 23:02:40

白加黑也真是防不胜防，基本就依靠扫描

[分析报告] 一个远控的研判