jishuzhain
雪 币: 11742
活跃值: (160)
能力值:
( LV8,RANK:370 )
在线值:
每年的活动又要开始了呀,无意在网上冲浪的时候发现了这个马,估计是攻击队留下的痕迹,前期做准备的,感觉这样很有趣,在攻防中不断成长呢!
之前(https://bbs.pediy.com/thread-259976.htm)有对整体样本进行过分析,有兴趣可以自行访问阅读,这里则对涉及的免杀技巧进行探究。使用了.NET平台,C#编写的外壳程序,如下。
text解密出的内容实质还是一个PE文件,也是基于.NET平台的。
分配一段可执行内存,新建线程执行该段内容。
array字节数组实质内容为meterpreter后门生成的内容或者是Cobalt Strike(果然CS是人手一份),经过作者实现的加密(异或),全程通信采用HTTPS,类似Reverse HTTPS后门,采用类似模板生成的方式,因为payload内容是可变的,而母体部分仅仅是加载器。
刚开始免杀效果还可以,如下。
微软对C#恶意文件检测是很深入的,毕竟是自家产品,嘿嘿,要免杀还需下些功夫。
后续探究时静态查杀检测率并不高,如下。