海莲花APT组织样本分析

APT 2年前 (2022) admin
1,035 0 0

海莲花APT组织样本分析

看雪论坛作者ID:寒江独钓_ 



1


利用wirkeshake抓包初步分析



此样本是从网络搜集下载,用以个人研究,不足之处请多指教!


话不多说,直接开始。经典的图标伪装,伪装成一个DOC文档,以为换个马甲就不认识你了!

海莲花APT组织样本分析

朋友来了有好酒,敌人来了有猎枪,先上老三样。

自解压格式
海莲花APT组织样本分析
海莲花APT组织样本分析
海莲花APT组织样本分析
海莲花APT组织样本分析
好了,是骡子是马拉出来溜溜吧!
海莲花APT组织样本分析
好家伙,一窝全是,您可真能生!李鬼就是李鬼,弄个假的看不起谁呢。

海莲花APT组织样本分析

里应外合,谋财害命。
海莲花APT组织样本分析
爬我墙头。
海莲花APT组织样本分析
海莲花APT组织样本分析
意料之中。

海莲花APT组织样本分析

海莲花APT组织样本分析

海莲花APT组织样本分析

小结:经典的白+黑加载方式,先释放白+黑程序,然后启动白程序MicrosoftUpdate.exe,再通过MicrosoftUpdate.exe加载SoftwareUpdateFiles.Resources下的 SoftwareUpdateFilesLocalized.dll恶意程序。

使用OD详细分析


读取SoftwareUpdateFiles.locale中的内容:

海莲花APT组织样本分析

解密数据:

海莲花APT组织样本分析

执行解密后的数据(因为中途跑飞了所以地址有一点变化,不影响分析,忽略即可):

海莲花APT组织样本分析

生成假文档迷惑用户:

海莲花APT组织样本分析
 
通过LoadLibrary和GetProcAddress获取函数地址:
 
海莲花APT组织样本分析

最后退出程序:

海莲花APT组织样本分析
 
先分析到这里。


海莲花APT组织样本分析 


看雪ID:寒江独钓_ 

https://bbs.pediy.com/user-home-941725.htm

*本文由看雪论坛 寒江独钓_  原创,转载请注明来自看雪社区


海莲花APT组织样本分析


# 往期推荐

1.详解七句汇编获取Kernel32模块地址

2.保护模式学习笔记之分页机制

3.非华为电脑安装华为电脑管家分析

4.某DEX_VMP安全分析与还原

5.怎样制作一个防止重打包的APK【反脱壳反HOOK】

6.CVE-2019-9081 Laravel5.7 反序列化 RCE复现



海莲花APT组织样本分析



海莲花APT组织样本分析

球分享

海莲花APT组织样本分析

球点赞

海莲花APT组织样本分析

球在看



海莲花APT组织样本分析

点击“阅读原文”,了解更多!

原文始发于微信公众号(看雪学苑):海莲花APT组织样本分析

版权声明:admin 发表于 2022年1月20日 上午10:02。
转载请注明:海莲花APT组织样本分析 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...