2021.11.29样本分析
2021.11.29样本分析
样本MD5:
1
|
eead5424c1738bd5061cf2455ceb45b7
|
网络流量分析,该样本会主动回连C&2
domain | ip |
---|---|
tyl007.3322.org | 183.236.2.18 |
未加壳
命中blacklistapi如下
样本创建了一个程序,并加了相应的启动参数
原样本只是个壳子,然后释放真正的样本程序
释放payload
然后去请求了一个cab文件,由于我们没有捕获到那个cab文件,所以不知道后续阶段发生了什么
然后,回连C&2
样本MD5 dd4c1ca9a2c5a9a0e484d649c566637e
upx壳,简单脱一下
样本会创建一个子进程,然后恢复线程
然后使用conhost.exe,像time.windows.com发送测试数据
然后释放样本主程序nlqiaar.exe
子进程在Faviorites路径创建淘宝.link,等广告链接
创建.url等类型的广告链接
- 本文链接: http://hexchrist.github.io/p/c93c.html
- 版权声明: 本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!
相关文章
暂无评论...