[Roblox]solora注入器不要再使用

这份报告是对一个名为 Solara.7z 的文件进行详细分析的结果，文件大小为 9.53 MB，类型为 7-zip 压缩文件。以下是报告的总结：

---

文件基本信息

• 文件名称: Solara.7z

• 文件类型: 7-zip 压缩文件

• 文件大小: 9.53 MB

• HASH:

  • SHA256: ad7161008a8499b1f21d9717cb681fe87d192df0a92e3c80a2838d08bfc148da

  • MD5: 90a080385ff654f439603cf269e3d12c

  • SHA1: 4ce29669a8d5e620945f8882a3d1f092ad635f07

• 首次提交时间: 2025/02/05

• 末次提交时间: 2025/02/05

• 分析环境: Windows 10 (1903 64bit, Office 2016)

---

威胁分类

• 威胁类型: 潜在有害应用 (PUA)

• 木马家族: GameHack

• 引擎检出率: 7/27（27 个引擎中有 7 个检测到威胁）

  • 检测到的引擎包括：

    • ESET: MSIL/GameHack.CDA

    • 卡巴斯基: UDS:DangerousObject.Multi.Generic

    • IKARUS: PUA.Themida

    • Avast/AVG: Win64:MalwareX-gen

    • GDATA: Win64.Trojan.Agent.3BF62T

    • 安天: Trojan/Script.Agent

---

行为分析

高危行为

• 系统环境探测:

  • 检查 BIOS 版本，可能用于检测是否运行在虚拟环境中。

可疑行为

• 反检测技术:

  • 查询系统硬盘大小，可能用于判断是否运行在虚拟机中。

  • 检查适配器地址，可能用于检测虚拟网络接口。

  • 检测调试器和取证工具的存在。

  • 创建 PAGE_GUARD 属性的内存页，通常用于反逆向和反调试。

• 信息搜集:

  • 获取按键信息。

  • 安装消息钩子。

• 网络相关:

  • 发起具有可疑特征的 HTTP 流量。

  • 访问代码托管网站（如 GitLab）。

  • 使用公共剪切板服务（如 Pastebin）。

  • 开启端口并监听，常用于后门程序。

  • 连接到无应答的 IP 地址。

• 系统敏感操作:

  • 检查系统唯一标识符的权限。

通用行为

• 系统环境探测:

  • 查询计算机名、时区、硬件指纹信息（如 MachineGuid、DigitalProductId、SystemBiosDate）。

• 网络相关:

  • 发起 HTTPS 请求。

• 一般行为:

  • 释放 HTML 文件。

  • 枚举文件和目录。

---

多维检测

• Yara 规则:

  • 检测到 shellcode 字节模式。

• Sigma 规则:

  • 检测到注册表自启动项修改（Autorun Keys Modification）。

  • 检测到新应用程序执行（New Application in AppCompat）。

---

静态分析

• 文件结构:

  • 包含 446 个子文件，扩展名包括 .dll、.log、.js、.db、.html 等。

  • 子文件类型包括未知文件、DLL（x86/x64）、IE、EXE（x64）、Zip 等。

• 元数据:

  • 文件版本为 7z v0.03。

  • 最早修改时间为 2022-06-24，最晚修改时间为 2025-02-04。

---

动态分析

• 进程详情:

  • 主进程为 Solara.exe（PID: 6724），路径为 C:\Users\Administrator\Desktop\Solara\Solara.exe。

• 网络行为:

  • 发起多个 HTTPS 请求，目标包括：

    • pastebin.com（可疑，解析 IP: 172.67.19.24）

    • clientsettings.roblox.com（安全，解析 IP: 128.116.120.4）

    • getsolara.dev（可疑，解析 IP: 172.67.203.125）

    • gitlab.com（安全，解析 IP: 172.65.251.78）

    • api.getsolara.gg（未知，解析 IP: 172.67.189.201）

  • 使用 TLS 协议，检测到 JA3 和 JA3S 指纹。

• 释放文件:

  • 未检测到释放文件。

• 内存文件:

  • 未检测到内存文件。

---

MITRE ATT&CK 矩阵

检测到 8 条技术指标，包括：

• TA0005: Defense Evasion（防御规避）

• TA0007: Discovery（信息搜集）

• TA0011: Command and Control（命令与控制）

---

处置建议

• 建议操作:

  • 隔离并删除该文件。

  • 检查系统是否已被感染，尤其是注册表自启动项和网络连接。

  • 使用杀毒软件进行全盘扫描。

  • 如果程序已运行，建议删除Solara\Monaco\combined.html

---

总结

• 风险等级: 高

• 主要威胁:

  • 潜在有害应用（PUA），可能与游戏作弊工具（GameHack）相关。

  • 具有反虚拟机、反调试、信息搜集和网络通信行为，疑似后门程序。

• 建议:

  • 不要运行该文件。

  • 如果已运行，立即进行系统清理和杀毒。                                                                                                                                                                                           --微步云沙箱检测