强对抗沙箱的Wacapew.C!ml vt:5/71

显示全部楼层 · 发表于前天 11:34

本帖最后由 ulyanov2233 于 2025-6-27 15:26 编辑

vt:https://www.virustotal.com/gui/f ... 39f54e539?nocache=1
微步云只探测到对抗沙箱行为：https://s.threatbook.com/report/ ... b168a1581c39f54e539奇安信可疑六分（现在已经云拉黑）：奇安信情报沙箱
https://wormhole.app/LO9lbK#KyUO0-kkxnAHNvU-qKR6uw 密码：infected卡巴opclean：Kaspersky Threat Intelligence Portal — Report — D33F1D71C21FEF8D2EC6637854918192E1C30EC737C4FB16...
essp自动上传：2025/6/27 11:28:37;6E6257B53EAA075D8B09061FEC8A87F4EC9FB570;C:\Users\Y8219\Downloads\d33f1d71c21fef8d2ec6637854918192e1c30ec737c4fb168a1581c39f54e539\d33f1d71c21fef8d2ec6637854918192e1c30ec737c4fb168a1581c39f54e539.exe;65820200;可执行文件;自动;ESET LiveGrid®;FIREFLY\Y8219

显示全部楼层 · 发表于前天 11:41

显示全部楼层 · 发表于前天 11:49

avast 解压杀

显示全部楼层 · 发表于前天 12:30

迈克菲 kill

显示全部楼层 · 发表于前天 13:07

EIS扫描miss，沙盒内运行miss

显示全部楼层 · 发表于前天 13:42

显示全部楼层 · 发表于前天 14:28

emsi

2025/6/27 14:26:25
行为监控检测可疑行为 "TrojanDownloader" 来自于 C:\Users\user000\Desktop\d33f1d71c21fef8d2ec6637854918192e1c30ec737c4fb168a1581c39f54e539.exe (SHA1: 6E6257B53EAA075D8B09061FEC8A87F4EC9FB570)
2025/6/27 14:26:34
恶意软件 "Bad reputation" 来自于 "C:\Users\user000\Desktop\d33f1d71c21fef8d2ec6637854918192e1c30ec737c4fb168a1581c39f54e539.exe" 已隔离。

复制代码

显示全部楼层 · 发表于前天 15:50

本帖最后由图钉鱼于 2025-6-28 00:12 编辑

反沙箱创新：通过ThreadCount/KernelModeTime参数差异识别虚拟环境（真实主机平均线程数＞200，沙箱＜50）
调试器对抗：c0000034错误码表明尝试访问无效内存地址，实为调试器陷阱
WMI隐蔽通道：利用{4F32ADC8...}接口的SspirConnectRpc方法建立隐蔽通信内嵌代码采用异或0xD3编码：在程序的偏移地址1a285d40处，有一段被混淆的代码，需要逐字节异或0xD3才能获得原始指令。这段代码可能在运行时进行自我解码并执行，以逃避静态分析。
管道通信：恶意程序通过命名管道进行进程间通信（可能是父子进程之间）。传输的数据大部分是明文（如tasklist的输出），而协议控制字段可能是二进制格式（如第一次读取到的内容）。

后续的管道内容可以看出，读取的数据似乎是tasklist命令的输出，包括进程名、PID、会话名、内存使用等信息。

反射执行关键函数：
csharpcsharp复制cshar复制System.AppContext.SetSwitch("Switch.System.IO.BlockLongPaths", false); // 解除路径限制
System.AppContext.SetSwitch("Switch.System.IO.UseLegacyPathHandling", false); // 禁用新路径规则
ParameterAttribute.set_ValueFromPipeline(true); // 启用管道输入攻击
脚本投毒：生成__PSScriptPolicyTest_*.ps*文件实现：
绕过ConstrainedLanguageMode
禁用脚本块日志记录(LoggingLevel = 0)

释放kidkadi.node：恶意载荷，静态特征免杀处理，安天VILLM垂直大模型检测Trojan.Win32.Agent
释放StartupProfileData-NonInteractive：PowerShell开机触发脚本

注册表持久化：
在\Registry\Machine\...\CodePage中植入加密配置数据，键值经Base64+gzip压缩。
疑似MBR攻击和植入security模块后门
MBR修改: \\.\PhysicalDrive0偏移0写入恶意引导？（样本SeManageVolumePrivilege权限提权失败，后续写入中断，怀疑MBR写入）
服务注册: sc create SysUpdate binPath=恶意路径？
替换site-packages/security.py: 添加后门代码？

显示全部楼层 · 发表于前天 16:51

卡巴的OP漏报率惊人！不可信

显示全部楼层 · 发表于前天 16:58

cortex 双击miss（或者没跑起来）

[病毒样本] 强对抗沙箱的Wacapew.C!ml vt:5/71

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

评分