恶意msi

显示全部楼层 · 发表于 2025-4-17 22:12:54

https://www.virustotal.com/gui/f ... 18c9c26ddcfd51aca6a

https://pan.huang1111.cn/s/YLb3BTA

显示全部楼层 · 发表于 2025-4-17 22:18:47

卡巴解压秒

显示全部楼层 · 发表于 2025-4-17 22:19:35

HMPA miss

显示全部楼层 · 发表于 2025-4-17 22:27:19

本帖最后由 awsl10000次于 2025-4-17 22:30 编辑

过Sophos intelix

过微步
样本报告-微步在线云沙箱
值得注意的是微步上面显示首次提交时间为2022年3月1日

显示全部楼层 · 发表于 2025-4-17 22:34:24

emsi双击miss

显示全部楼层 · 发表于 2025-4-17 22:57:30

本帖最后由 wwwab 于 2025-4-18 06:41 编辑

awsl10000次发表于 2025-4-17 22:27
过Sophos intelix

过微步

我明天问一下微步吧，感觉有可能是他们出bug了

从msi元数据来看，该msi的生成时间应该是2025-04-14 12:46:28 UTC，即北京时间2025-04-14 20:46:28，如下图所示：

从样本在VirusTotal首次上传时间来看，msi及其特有衍生物均在3日以内被上传，如下图所示：

从PE文件编译时间戳来看，SbieDll.dll编译时间为北京时间2023-12-02 21:14:41，payload编译时间为北京时间2025-04-14 20:40:49，如下图所示：

从厂商威胁情报来看，该msi和payload当前在360云端查询无数据，SbieDll.dll在360云端的收录时间为2025-04-16，如下图所示：

从传播情况来看，该样本目前具有投放: https[:]//moteev-biznis-man[.]shop/YCZCNYYK.msi

时间戳均在合理值范围内，且payload编译时间戳（北京时间2025-04-14 20:40:49）与msi生成时间戳（北京时间2025-04-14 20:46:28）接近，仅相隔6分钟，时间间隔正常、合理，且两个不同组件的时间戳能够更有力地相互映衬和反映。

更重要的是，该样本释放的白利用文件KmdUtil.exe，在微步云沙箱上的首次提交时间为2023/12/08，在360云端的收录时间为2023-12-02，在卡巴斯基云端的收录时间为2023-12-02 21:04 UTC，编译时间戳为北京时间2023-12-02 21:14:53，各种证据均表明该文件不可能在2022年3月1日时就已经存在，而其作为该样本的衍生物，如下图所示：

综上所述，该样本不可能是2022年3月1日就已经存在。

显示全部楼层 · 发表于 2025-4-17 23:24:39

本帖最后由 Fadouse 于 2025-4-17 23:28 编辑

样本行为/IOC分析(o4 mini high + joesandbox)由于样本为Stealer，所以请不要实体机双击！！！

以下是对样本 YCZCNYYK.msi 的详细行为分析，包括关键 IOC 指标 及 C2 通信 行为。

一、样本概览

文件名：YCZCNYYK.msi
分析环境：Windows 10 x64，Joe Sandbox Malachite v42.0.0，得分100/100，检测置信度100%
主要功能：通过 MSI 安装器加载多个辅助可执行文件（如 KmdUtil.exe、checkhelp.exe），执行进程注入、线程注入，绕过 EDR，窃取加密货币钱包、PuTTY/WinSCP、浏览器凭据等，并持续与 C2 服务器通讯。

二、文件指标 (IOC)

主要样本哈希
- MD5: 899a905a3bc46a9794015d85c9d6b0f0
- SHA1: 4f34e6257b67d63b08d1140b0a53ec8b0b0c357a
- SHA256: 48857dbcabc6c25c542d2fbfd7c26d37bf1f9de2fe54e18c9c26ddcfd51aca6a
掉落文件
- C:\Config.Msi\3c4246.rbs & 3c4249.rbs（安装残留）
- C:\ProgramData\Nodecom_dbg_v1\KmdUtil.exe、Praedfir.pstm、SbieDll.dll、Siddaegchen.gxm
- C:\ProgramData\Wordpadjava\KmdUtil.exe、Praedfir.pstm、SbieDll.dll、Siddaegchen.gxm
- 临时目录下的 checkhelp.exe、myvgcxaqlh、大量 Edge 浏览器缓存文件等
创建／修改注册表
- 样本在 HKCU 下创建特定键值（Joe Sandbox 日志中未展示完整路径，可结合注册表监控补充）。

三、网络与 C2 行为

域名与 IP
- cdnnode-01.cfd → 172.67.177.126 (CLOUDFLARENET-US)
- glimmer-cdn.cfd → 172.67.180.100 (CLOUDFLARENET-US)
- moteev-biznis-man.shop → 172.67.205.54 (CLOUDFLARENET-US)
- 其他常见域名（Google、MSN、Akamai、scorecardresearch 等）见白名单及流量混淆
DNS 解析
- 多次解析上述 C2 域名（cdnnode-01.cfd、moteev-biznis-man.shop、glimmer-cdn.cfd）及合法服务，规避检测。
HTTP(S) 通信
- 首次阶段：样本通过 msiexec.exe 启动后下载二次载荷，如 IPVXAFJG.msi，路径示例：
  https://cdnnode-01.cfd/civilizat ... mzk=vCKi6seJSP53Yp3…
- DeerStealer C2：
  - POST: 向 172.67.177.126:443 发送 Base64 编码的窃取数据（ET MALWARE DeerStealer POST Request）
  - Response: 收到 ETPRO MALWARE DeerStealer CnC 响应
  - TLS 指纹: JA3 Hash 被识别为 “Fake Firefox Font Update”
长期保持
- C2 通信采用 HTTPS 常见端口（443）与 Cloudflare 网络，结合域名前后缀变化及分布式解析增强隐蔽性；定期心跳与指令拉取混合在正常浏览器流量中。

四、进程注入与绕过技术

隐蔽模块映射：通过 Maps a DLL or memory area into another process 技术，将恶意模块加载到系统进程中以躲避磁盘取证。
Syscall 绕过：利用直接/间接系统调用 (Syscall) 绕过常规 EDR 钩子检测。
线程注入：在已存在进程中创建线程（如 KmdUtil.exe、checkhelp.exe），加载并执行 Payload。

以上即为该样本的关键行为及 IOC 指标，建议在防护体系中重点监控上述哈希、文件路径、注册表变动、域名/IP 解析与 DeerStealer POST/Response 特征，以快速定位并阻断该威胁。

显示全部楼层 · 发表于 2025-4-17 23:32:36

腾讯电脑管家不报

显示全部楼层 · 发表于 2025-4-18 09:28:31

显示全部楼层 · 发表于 2025-4-18 09:39:14

迈克菲 kill

[病毒样本] 恶意msi

本帖子中包含更多资源

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源