记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

MMcORE 针对东南亚的 APT 攻击

2021-03-19 12:52

作者: Yenn_
原文链接:Wei's Blog

基本信息

File NameFile SizeFile TypeMD5
76,800 Bytebbe4ae55f828e020c32e215f4d152cc3

查壳

img

无壳

详细分析

在运行后,动态行为中未发现任何异常,可能有对抗检测的操作

img

拉进IDA,来到MAIN函数

img

img

对抗检测

先取得一次当前激活窗口名,每隔1000ms检测一次当前活动的窗口,然后比较两次是否一样,如果一样则进入死循环,一直查找窗口

img

然后利用memset函数,将一片内存置0,然后在置0的一块内存中得出一个DLL名,snxhk.dll

是杀毒软件Avast的一个模块

img

img

解密字符串

使用memset置0内存,再解密出一个url dailysync.zapto.org

img

img

解密出一个jpg路径,/fancycumti/combidation/scale.jpg

img

img

将前面得出的URL和jpg路径转换为宽字符

img

然后进入一个死循环,生成一个随机数,再利用生成的随机数Sleep

img

请求资源

加载wininet.dll,wininet.dll是windows应用程序中的网络相关模块

img

利用Getprocaddress,获取大量函数地址

img

对dailysync.zapto.org/fancycumti/combidation/scale.jpg发起http请求

img

加载资源

从远程服务器中请求一个jpg资源,然后读取jpg的数据

img

修改申请内存的页属性,然后创建新线程,执行读取到的内容

img

dailysync.zapto.org/fancycumti/combidation/scale.jpg已经挂了,目前为止还没找到可下载的样本,后面的暂时分析不了。


Paper本文由 Seebug Paper 发布,如需转载请注明来源。本文地址:http://www.hackdig.com/03/hack-300434.htm


知识来源: https://paper.seebug.org/1517/

阅读:87489 | 评论:0 | 标签:apt 攻击

想收藏或者和大家分享这篇好文章→复制链接地址

“MMcORE 针对东南亚的 APT 攻击”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

标签云 ☁