一个CS马伪装下的loader样本分析
原文来自 SecIN社区 —作者:寅儿 0x01 开源情报收集 样本下载链接: https://app.any.run/tasks/ffc1ecff-e461-4474-8352-551db7e7b06f/ 常用平台:VT,微步,哈勃 app.any.run, joesandbox 图一:VT检测 木马实锤 沙箱跑一下看一下行为: 图二:沙箱行为分析 可以看到用GET请求访问C&C服务器下载了一个二进制binary文件。 点开binary文件查看详情: 图三:恶意binary dump下来wireshark数据包,过滤http请求同样可以发现该二进制文件 图四:抓包分析 查询C&C服务器ip: 图五:ip检测 现在对该恶意软件已经有了初步了了解,下面进行数据包分析,看看能不能找到有用的信息。最直观的看到就是使用了非常见的端口连接,还有发现一个有趣的现象: 图六:数据包分析 竟然是肉鸡主动连接的C&C服务器,让我联想到了CS马。这种手法类似于反弹shell,好处就是可以绕过防火墙限制,如果对方是内网ip,你无法直接发起连接请求,方便持久化控制等等。 0x02 样本基本信息 用exeinfo查壳,标准的32位VC编译的程序 图七:样本信息 用Process Monitor监控行为 图八:软件行为 具体每一项的图略了,大概看了一下读取了注册表的某些键值,设置了某些键值对的值