以下为某APT组织木马样本分析

木马在运行之后会通过光标移动特征、硬盘大小、适配器地址判断是否为沙箱环境

并使用DLL反射加载,后将文件属性设为隐藏

filepath:C:\Users\Administrator\AppData\Local\Microsoft\Windows\INetCache\IE\HMJ5SQMT
filepath_r:C:\Users\Administrator\AppData\Local\Microsoft\Windows\INetCache\IE\HMJ5SQMT
木马通过有道词典的白名单域名下载了一个压缩文件
https://bucket-ynote-online-cdn.note.youdao.com:443/miaking77%****.com%****?download=2.zip&Signature=w****&Expires=****&NOSAccessKeyId=*****
下载内容为:
api-ms-win-crt-convert-l1-1-0.dll
api-ms-win-crt-heap-l1-1-0.dll
api-ms-win-crt-locale-l1-1-0.dll
api-ms-win-crt-math-l1-1-0.dll
api-ms-win-crt-runtime-l1-1-0.dll
api-ms-win-crt-stdio-l1-1-0.dll
api-ms-win-crt-string-l1-1-0.dll
k //同为DLL
KK.txt //同为DLL 用于检测调试器和取证工具窗口、获取按键信息
RuntimeBroker.exe //腾讯应用宝签名 白名单文件
t //同为DLL
vcruntime140.dll
文件释放至:
C:\Users\Public\Documents\i87Ki\View@15\
并修改注册表中默认运行程序
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\wrifile\shell\open\command\(Default)
不断检查顶层窗口变化检测系统是否为用户真实环境,并通过注册表键值判断中国厂商反病毒软件
有道CDN域名:
bucket-ynote-online-cdn.note.youdao.com
note.youdao.com
从运行到文件落地请求均为白名单域名
中国厂商反病毒软件全部未检出
virustotal:

转载请注明来自FreeMe'S Blog,本文地址:https://freeme.cc/322.html

文章仅供学习研究,请遵守您当地的法律法规.