病毒
文章平均质量分 89
建瓯最坏
APT组织跟踪,病毒分析,逆向/二进制研究人员
展开
-
Linux逆向 - Mirai-上
MiraiMirai变种资料源码Mirai源码[《xd0ol1 - Mirai 源码分析》](https://paper.seebug.org/142/)[《绿盟 - MIRAI源码分析报告》](http://blog.nsfocus.net/mirai-source-analysis-report/)分析报告分析查壳脱壳分析int 80HKiller模块has_exe_accessMirai虽然Mirai很老了,但是类似学Windows病毒分析拿熊猫烧香练手一样,Linux病毒不逆个Mirai感觉不太原创 2021-06-04 20:21:56 · 1100 阅读 · 0 评论 -
DarkSide勒索病毒分析
DarkSide前情渗透逻辑——信息收集勒索软件分析流程针对需求快速下断点在IDA中还原代码前情因为我主要是做APT分析,一般情况是不分析勒索的,而且普通的勒索分析了没太大意义,但是就是这次的美国被动进入紧急状态????好家伙,短时间多个国内安全厂商出动,一顿分析发布,被迫内卷,不卷就像报数没到一样既然被迫分析了,那多少还是有点意义的,就从另一个角度思考一下怎么梳理面对陌生类型的逻辑渗透逻辑——信息收集这次分析算是时间紧任务重,这时候埋头深究技术是肯定不行的其实我以前在15PB培训的时候分析原创 2021-05-12 18:12:41 · 1369 阅读 · 5 评论 -
【持续更新】HW常见载荷 - 可执行文件类型(Cobalt Strike为主)
可执行文件????????????Cobalt Strike Beacon64位GO语言版本的Cobalt Strike Beacon64位GO语言版本的例子:imphash:4035D2883E01D64F3E7A9DCCB1D63AF5修改断点:4AD73D,设置下一行(或者通过标志位改跳转,但是64位的只能用X64dbg不太熟):ShellCode入口点:4AD555,暂停后查看寄存器值,进入该值的内存块,找IP或者域名(在User-Agent下面):...原创 2021-04-16 13:58:46 · 373 阅读 · 1 评论 -
隐身9年的俄罗斯APT组织XDSpy及其XDDown攻击链分析
样本分析投递手法 - 钓鱼邮件+恶意附件压缩包通过钓鱼邮件投递针对俄罗斯,以失物认领为主题的武器化PPSX格式的附件,诱骗收件人下载打开,打开后会执行JS脚本“MicrosoftPowerPoint.js”,释放并执行PE文件。执行流程样本详细分析钓鱼邮件恶意附件PPSX由于PPSX格式的攻击载荷比较少见,此处简单介绍一下该格式与PPTX格式的区别:PPTX:普通可编辑模式。打开后呈现的页面就是可编辑的页面,要播放需要单击播放按钮才能全屏播放。PPSX:放映格式。打开后直接就是全屏放映,没法原创 2020-12-01 20:19:07 · 1017 阅读 · 4 评论 -
双尾蝎后门程序
样本分析投递手法通过钓鱼邮件投递以IT从业者简历为主题的可执行文件,该文件通过长文件名+WORD图标的方式,伪装为文档诱骗收件人下载打开。执行流程样本详细分析该Delphi可执行文件运行后会通过窗体TForm1类中设置的3个按钮控件和4个计时器控件的响应事件,执行对应功能,如截图,下载文件,执行Shell代码等。执行Timer后根据执行结果,杀死以及设置/新建Timer控制逻辑,下文不再赘述:Time1释放掩饰文档首先被执行的是Time1,用来释放掩饰文档以及进入Button2控件的响应事件原创 2020-12-01 19:30:18 · 1044 阅读 · 1 评论 -
网银木马TrickBot的分析调试笔记
Trickbot描述Trickbot是2016年出现的一种网银木马,它以大银行的客户为目标,窃取他们的信息。自出现以来,新的变体不断出现,每次都有新的技巧和模块更新。Trickbot是一种模块化恶意软件,包括针对其恶意活动的不同模块。主要功能包括从浏览器中窃取数据、从Microsoft Outlook窃取数据、锁定受害者的计算机、系统信息收集、网络信息收集和域凭据窃取等模块等.由于此家族出现至今已四年,公开的报告众多,此处不多描述初始载荷,以调试分析Trickbot功能载荷(本次分析的是1000511原创 2020-12-01 10:39:28 · 994 阅读 · 0 评论