某个样本的简单调试
啰哩啰嗦的一些话
某天接到一个样本,甲方说有异常,前场的人跑网络流量也没跑出啥,微步说有异常,也不知道啥毛病,找我们做技术支持,我就给他们简单分析了一下子
分析过程
直接下断调试,发起网络请求
访问恶意地址,微步关于这个地址没有给恶意,是阿里云的,
url是这个https://47.107.70.227/fate-zero/holy-grail.bmp
从关联的域名来看,更像是个电商的网站
继续调试,发现他访问了一些很奇怪的网址
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 |
地址=70A04021 反汇编=shr dword ptr ds:[eax+esi*2+70ACD1A0],1 字符串=L"t3l3p0rt.net"==&L"F 中的段落名标记不完整,或是没有单独在一行上。\r\n" 地址=70A04039 反汇编=shr byte ptr ds:[eax+esi*2+70ACD250],cl 字符串=L"potager.org" 地址=70A04039 反汇编=shr byte ptr ds:[eax+esi*2+70ACD250],cl 字符串=L"potager.org" 地址=70A04065 反汇编=shr dword ptr ds:[eax+esi*2+70ACD378],cl 字符串=L"bplaced.com" 地址=70A04065 反汇编=shr dword ptr ds:[eax+esi*2+70ACD378],cl 字符串=L"bplaced.com" |
微步给的白名单,由于样本给的不是很完整感觉,所以只分析到这
样本相关的沙盒信息
https://x.threatbook.cn/v5/domain/t3l3p0rt.net
https://www.hybrid-analysis.com/sample/1d90b987041490e2aee7de22c31d45fd177e99bc55ea3d794907c77123491269/617256350a16163b6b6ab361
https://www.hybrid-analysis.com/sample/1d90b987041490e2aee7de22c31d45fd177e99bc55ea3d794907c77123491269、
https://www.capesandbox.com/analysis/199259/
https://bazaar.abuse.ch/sample/1d90b987041490e2aee7de22c31d45fd177e99bc55ea3d794907c77123491269#yara
https://analyze.intezer.com/analyses/7566e492-93da-4abb-91a4-1ae233f4540b
https://otx.alienvault.com/indicator/file/1d90b987041490e2aee7de22c31d45fd177e99bc55ea3d794907c77123491269