[原创]高级APT木马逆向分析
2022-10-3 13:24:34 Author: bbs.pediy.com(查看原文) 阅读量:21 收藏

特点:释放了13个文件,普遍都很小只有几百kb

释放隐藏文件1个
自我复制 1个
设置了自启动
查壳.

1、病毒来自水坑攻击,文档投毒或U盘感染.
2、病毒行为:
反检测技术:检查SCSI接口磁盘的ID,可能被恶意程序用于检测是否运行在虚拟环境中.
通过检查注册表HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Disk\Enum\
虚拟机下会有 QEMU,vbox,vmware,virtualhd等字样.
反逆向工程:利用一个未公开函数NtMapViewOfSection在远程进程地址空间写入代码,并且用一种新的技术在远程进程中执行它,这种技术完全工作在用户模式下,并且不需要特殊的条件比如像管理员权限或者之类的要求

设置注册表实现自启动:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\34286
加载模块资源并rsa解密出pe文件

通过在svchost.exe注射代码,来实现通信.

通过判断计算机语言来执行一些操作.
3、病毒获取信息:
查询系统用户名:GetUserNameW
获取系统信息:GetSystemInfo
查询计算机名:GetComputerNameW
C:\Windows\win.ini

具体的信息都在44FF2421BBD7918C6AD68DA4FA276E02.exe.idb 文件中了,这个apt有些复杂,其中有许多地方还是有些不明白.
希望和朋友们多多交流,文件我全部打包上传了,可以留言一起研究

看雪招聘平台创建简历并且简历完整度达到90%及以上可获得500看雪币~


文章来源: https://bbs.pediy.com/thread-274627.htm
如有侵权请联系:admin#unsafe.sh