记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

IcedID恶意软件原理分析(二)

上文,我们已经就如何解压缩IcedID恶意软件,IcedID使用的挂钩和进程注入技术,以及如何执行IcedID有效载荷进行了研究,在这部分,我们会继续来研究关于IcedID有效载荷分析(父进程)的问题。有效载荷分析以下是有效载荷的入口函数,它首先解钩函数RtlExitUserProcess。核心函数在函数sub_0x27FE()中实现。成功执行核心模块后,程序将进入无限循环,以确保svchost.exe进程不会退出。有效载荷的入口函数接下来,让我们看一下函数sub_0x27FE()。函数sub_0x27FE()接下来,我将向你展示该函数的作用。两个注入的内存区域正如你在第一部分的图15中所看到的,svchost.exe
发布时间:2019-10-31 13:10 | 阅读:16205 | 评论:0 | 标签:恶意软件 IcedID

IcedID恶意软件原理分析(一):脱壳、挂钩和进程注入

概述IcedID是一种银行木马,该木马在浏览器上执行Web注入,并作为监测并操纵流量的代理。该木马能够窃取受害者的信息,例如凭据。然后,会将被窃取的信息发送到远程服务器。最近,FortiGuard Labs团队开始对一些IcedID样本进行分析。在本系列文章中,我将详细分析新的IcedID恶意软件样本,本系列将分为三个部分。· 第一部分:脱壳、挂钩和进程注入· 第二部分:IcedID核心Payload分析· 第三部分:子进程分析本文是该系列的第一部分,让我们来逐一突破。0x01 恶意PE可执行文件我们所分析的样本是PE可执行文件,最常见的是受感染的Office文件。下图展现了执行PE文件后
发布时间:2019-07-25 12:25 | 阅读:67538 | 评论:0 | 标签:恶意软件 IcedID 注入

IcedID和Trickbot两大恶意软件家族相互协作

自2017年9月发现以来,银行木马IcedID一直很活跃。今年上半年,它也被其它知名的银行木马家族分发,如Emotet和Ursnif。使用这种方案,分布式恶意软件系列可以增加其传播潜力。这种行为有两种可能的动机。其一,它允许downloader(在本案例中也是银行特洛伊木马)执行自己的网络犯罪操作,同时通过向他们的亲属提供分发服务而获利。其二,不同恶意软件服务的订户可能只是想通过用多种恶意软件攻击轰炸他们的受害者来增加提取有价值信息的机会。FortiGuard实验室最近发现了一个Trickbot’s 的C2(命令和控制)服务器向受害者发送命令,指示其bot下载IcedID银行特洛伊木马的最新版本。在快速了解I
发布时间:2018-07-31 12:20 | 阅读:87311 | 评论:0 | 标签:技术 IcedID Trickbot

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云