详细分析 1.钓鱼样本解压缩之后,如下所示: 2._MACOSX目录下的文件信息,如下所示: 3.LNK快捷方式相关信息,如下所示: 4.调用执行对应目录下的VBS脚本,VBS脚本内容,如下所示: 5.重命名目录下的相关文件并启动DS_Strore.exe程序,最后执行PING操作,如下所示: 6.DS_Strore.exe程序,主函数代码,如下所示: 7.直接...
1.样本伪装成简历以及专利相关信息,对公司的HR进行钓鱼攻击,如下所示: 2.样本的编译时间为2024年1月9日,如下所示: 3.样本信息显示为腾讯应用宝程序,如下所示: 4.样本的PDB信息为腾讯应用宝程序PDB信息,如下所示: 5.猜测样本应该是修改了腾讯应用宝程序,查看样本的入口点WinMain代码,与腾讯应用宝相关程序对比,...
四、处置与防范 在了解了钓鱼样本的运作方式后,我们采取了以下措施进行处置: 立即通知受影响的用户,提醒他们不要点击可疑链接或下载可疑附件。 隔离受影响的系统,防止恶意程序进一步传播。 对恶意程序进行深入分析,提取其特征码,以便其他安全系统能够识别和防范。 为了防范类似的钓鱼攻击,我们建议: 提高安全意识,不轻信...
20.手动解析该CS模块的C2配置信息,如下所示: 到此该CS钓鱼样本就分析完毕了。 威胁情报 总结结尾 每年演练都会有很多新的红队样本出现,里面包含各种各样的安全技术,是一个不错的学习机会,对一些有意思的对抗样本都可以深入分析和研究。
首先样本exe伪装pdf,加了各pdf的图标资源; 一、上火绒剑 这里直接上火绒剑,开启系统监控,然后运行样本,粗略的看下样本的行为 这里我们直接把样本丢到虚拟机并双击运行: 没有发现外联行为,进程起来之后,1秒不到很快就自动挂了,行为主要都是一些文件读取和注册标读取操作; ...
本文主要记录了本人在对一钓鱼样本进行分析溯源学习时的踩坑经过。整个过程可简单概况为以下几部分: 使用pyinstxtractor反编译 pyinstaller 打包的exe,得到 pyc 文件 尝试使用uncompyle6反编译 得到的pyc文件,进一步得到 python 源码未果 根据uncompyle6使用过程中出现的问题,寻找原因和解决办法,尝试手动修复pyc文件 ...
本文主要记录了本人在对一钓鱼样本进行分析溯源学习时的踩坑经过。整个过程可简单概况为以下几部分: 使用pyinstxtractor反编译 pyinstaller 打包的exe,得到 pyc 文件 尝试使用uncompyle6反编译 得到的pyc文件,进一步得到 python 源码未果 根据uncompyle6使用过程中出现的问题,寻找原因和解决办法,尝试手动修复pyc文件 ...
本文主要记录了本人在对一钓鱼样本进行分析溯源学习时的踩坑经过。整个过程可简单概况为以下几部分: 使用pyinstxtractor反编译 pyinstaller 打包的exe,得到 pyc 文件 尝试使用uncompyle6反编译 得到的pyc文件,进一步得到 python 源码未果 根据uncompyle6使用过程中出现的问题,寻找原因和解决办法,尝试手动修复pyc文件 ...
由于一直没怎么分析过易语言的样本,想学习一下易语言的样本分析过程,正好最近碰见了一个易语言编写的样本,是一个专门针对人类高质量女性进行钓鱼的样本,正好拿来学习学习,笔者是一边学习一边分析,如有不对之处还望各位批评指正。 该样本图标如下: 好像和前段时间流行的某人类高质量男性留着一样的发型?查看详细信息发...
通过上面的分析,可以判定该钓鱼攻击为此前使用“银狐”工具的黑产团伙的最新攻击样本。 威胁情报 总结结尾 去年使用“银狐”黑客工具的黑产团伙非常活跃,今年这些黑产团伙仍然非常活跃,而且仍然在不断的更新自己的攻击样本,采用各种免杀方式,逃避安全厂商的检测,免杀对抗手法一直在升级。