随笔分类 -  样本分析

【APT】Bitter APT组织针对巴基斯坦航空综合部门攻击活动分析
摘要:前言 蔓灵花(Bitter)是一个被广泛认为来自印度的APT组织,该组织长期针对我国及巴基斯坦的政府、军工、电力、核等部门发动网络攻击,窃取敏感数据,具有较强的政治背景。本次分享一个蔓灵花组织针对巴基斯坦“航空领域”的攻击活动样本。该样本使用名为“PAC Advisory Committee Rep 阅读全文
posted @ 2022-01-07 14:06 SunsetR 阅读(221) 评论(0) 推荐(0)
【APT】Patchwork APT组织针对巴基斯坦国防官员攻击活动分析
摘要:前言 Patchwork(白象、摩诃草、APT-C-09、Dropping Elephant)是一个疑似具有印度国家背景的APT组织,该组织长期针对中国、巴基斯坦等南亚地区国家进行网络攻击窃密活动。本次捕获样本以“巴基斯坦国防官员住房登记”为诱饵,释放“BADNEWS”后门程序进行攻击窃密活动。 样 阅读全文
posted @ 2021-12-20 14:36 SunsetR 阅读(153) 评论(0) 推荐(0)
【逆向】Magniber 勒索软件样本分析
摘要:前言 Magniber是一个首次出现于2017年底的勒索软件家族,该勒索软件的早期版本主要针对韩语用户实行勒索,并且通过 Magnitude 漏洞利用工具包进行分发投送。由于Magnitude Exploit Kit (EK) 运营商在最初的活动中使用了Cerber 勒索软件,因此研究人员在为其命名 阅读全文
posted @ 2021-11-21 16:12 SunsetR 阅读(586) 评论(0) 推荐(0)
【逆向】HWP文档 分析调试技巧
摘要:前言 HWP(Hangul Word Processor)文件是韩国主流文字处理软件Hangul Office(한글)专用的文档格式,Hangul 是一款由韩软公司(Hansoft)开发,在韩国人人皆知,人人必备的一款Office软件。 恶意的 HWP 文档通常会使用以下两类利用方式:1、宏代码2、 阅读全文
posted @ 2021-08-16 19:09 SunsetR 阅读(745) 评论(0) 推荐(0)
【逆向】CVE-2017-8570漏洞分析调试技巧
摘要:前言 CVE-2017-8570是一个逻辑型漏洞,该漏洞利用复合Moniker绕过了CVE-2017-0199的更新补丁,可以在Office文档中执行任意SCT(Windows Script Component)脚本代码。 //受影响版本: Microsoft Office 2007 Service 阅读全文
posted @ 2021-08-12 11:37 SunsetR 阅读(657) 评论(0) 推荐(0)
【APT】Donot APT组织下载器样本分析
该文被密码保护。
posted @ 2021-07-02 21:03 SunsetR 阅读(69) 评论(1) 推荐(0)
【APT】Hades APT组织针对乌克兰发起网络攻击事件分析
摘要:背景 Hades一个充满神秘色彩的APT组织,该组织因为2017年12月22日针对韩国平昌冬奥会的攻击活动被首次发现,后来卡巴斯基将该次事件的攻击组织命名为Hades。但是该攻击组织的归属问题却一直未有明确定论。一方面由于该组织在攻击事件中使用的破坏性恶意代码(Olympic Destroyer)与 阅读全文
posted @ 2021-06-26 15:22 SunsetR 阅读(358) 评论(0) 推荐(0)
【APT】海莲花组织DLL样本分析
摘要:前言 样本来源Twitter,之前的文章已经完整分析过一个类似的DLL样本,这次做个简单记录。 样本分析 样本信息如下: DLL文件共有40个导出函数: 导出函数内容基本一致,恶意代码都在DllMain函数中实现: 执行后首先获取当前模块基址并解析PE文件: 然后通过Hook IAT(导入地址表)地 阅读全文
posted @ 2021-06-23 11:18 SunsetR 阅读(401) 评论(0) 推荐(0)
【宏病毒】Word宏病毒简单分析
摘要:前言 最近对Office系列宏病毒比较感兴趣,网上找了一个Word样本练练手,宏病毒常用套路一般都是利用PowerShell从服务器上下载PE文件执行,或者数据流中内嵌PE文件借助RTF释放执行。所以分析宏病毒一般都比较简单,查看VBA代码基本就能知道病毒执行的内容,但是如果代码中的函数、变量、字符 阅读全文
posted @ 2020-01-08 21:11 SunsetR 阅读(2410) 评论(0) 推荐(0)
【逆向】Windows服务逆向分析调试
摘要:前言 本文主要对Windows服务进行简要介绍,并对服务程序分析方法进行记录。 名词解释 1 服务进程: //通过服务方式运行的可执行程序 2 服务控制程序: //所有用于启动服务(StartService())的程序,Windows中可以使用“services.msc”命令启动 3 服务控制管理器 阅读全文
posted @ 2019-12-03 17:01 SunsetR 阅读(665) 评论(0) 推荐(0)
【逆向】GandCrabV2.0 勒索软件分析
摘要:1、前言 本次分析的是GandCrab勒索软件2.0版本,因为版本较早病毒服务器已经凉凉了,所以动态分析的时候并不会加密本地文件,调试的时候可以直接跳转到文件加密部分进行分析。另外除了勒索软件的一些常规操作外,为了逃避杀软检测病毒还进行了如下操作。 1 // 从资源解密执行shellCode。 2 阅读全文
posted @ 2019-11-21 21:28 SunsetR 阅读(1136) 评论(0) 推荐(0)
【逆向】Radamant 勒索软件详细分析
摘要:1、前言 一个Radamant勒索样本,到手分析时C&C服务器已经失效,分析过程修改了本机DNS解析来完成具体行为分析。样本比较简单,没有反调试虚拟机等手段,适合新手练习,熟悉勒索病毒常用操作后可以加快分析进度。 2、样本信息 样本名称:Radamant 样本类型:Win32 EXE样本大小:154 阅读全文
posted @ 2019-10-11 17:18 SunsetR 阅读(1045) 评论(3) 推荐(0)
【逆向】Delphi程序逆向之熊猫烧香病毒分析
摘要:1、前言 本文主要用于记录Delphi程序逆向的一些方法和技巧,以及熊猫烧香病毒的分析过程。 2、分析技巧 2.1 使用IDR或DEDE加载Delphi程序,导出Map文件,将Map文件导入OD。 2.2 IDA加载Delphi程序后,根据实际情况修改编译器选项,ASCII字符串风格,增加代码可读性 阅读全文
posted @ 2019-08-15 15:44 SunsetR 阅读(2131) 评论(0) 推荐(0)
【逆向】PDF CVE-2008-2992 ShellCode分析
摘要:上一篇文章里提取的shellcode样本,简单分析下吧,主要是对shellcode分析方法步骤做一个简单记录。 之前文章链接:https://www.cnblogs.com/SunsetR/p/11270981.html 分析方法: 使用IDA和OD配合分析,IDA可以查看主体流程,标注识别一定代码 阅读全文
posted @ 2019-07-31 18:05 SunsetR 阅读(882) 评论(0) 推荐(0)
【逆向】QQkey盗号木马原理分析
摘要:一、简介 QQkey是一段字符串,通过这段字符串在没有QQ登录密码的前提下你依然能够在浏览器中对别人QQ空间、邮箱等应用进行随意访问和操作。现在市面上已经有很多使用易语言编写的盗号木马,专门盗取别人的QQkey,通过QQkey改绑关联了该邮箱的Steam账号,最终达到游戏盗号的目的! 二、原理 QQ 阅读全文
posted @ 2019-07-16 00:48 SunsetR 阅读(12672) 评论(3) 推荐(7)