总结一下最近看到的银狐样本
https://mp.weixin.qq.com/s/8kdyzX11epawTTWUOi_xpg
特点包括利用数字签名伪装、配置文件加载恶意DLL、异或加密解密PDB文件、内存中释放PE文件、拼接可执行文件片段以及通过注册表和BootExecute实现持久化。
这里主要说一下我分析到的变种14
用虚拟机和磁盘大小来判断自己是否被检测
同时将恶意的dll加密后藏在文件中,在解密过后dll进行调用,第一个dll用于检查安全软件,如果有安全软件的存在,那就休息
第二个dll下载2025.bin文件,并用回调函数启动
启动后将指向的out.log进行base64的编码,得到下载的网络链接
下载的有trx38.zip,还有shellcode longlq.cl,shellcode的压缩包是加密了的
在trx38.zip中有KMFTP的白加黑样本,KMFTP解密出最好的shellcode
shellcode为多功能木马
No responses yet