全新后门文件Nev-3.exe分析

最新推荐文章于 2023-12-25 17:49:02 发布
最新推荐文章于 2023-12-25 17:49:02 发布
阅读量757 收藏
点赞数
文章标签: 面试 职场和发展 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/text2206/article/details/129248913
版权
本文详述了Nev-3.exe可执行文件的分析过程,揭示其下载远程文件、执行隐藏进程AntiAdwa.exe以及与C2服务器194.146.84.2:4395和193.84.248.67的通信行为。分析包括静态分析、wireshark抓包以及进程跟踪,确定其潜在的远程控制和数据收集功能。
摘要由CSDN通过智能技术生成

一、 样本发现:

蜜罐

二、 内容简介:

通过公司的蜜罐告警发现一个Nev-3.exe可执行文件文件,对该样本文件进行分析发现,该可执行程序执行后会从远程服务器http://194.146.84.2:4395/下载一个名为“3”的压缩包,解压后也是Nev-3.exe文件,文件下载地址194.146.84.2在微步威胁情报社区查询后,发现发现两个通信样本Nev-3.exe、记录表d3.rar,经过分析两个样本行为人特征一致。样本运行后释放到目录“C:\Users\Public\Music\”
下,随后执行目录中的恶意文件 AntiAdwa.exe,AntiAdwa运行后会向服务端发送保活连接,等待服务端下发指令,从而实现远程控制行为。

三、 分析研判

3.1 样本获取

蜜罐下载样本文件Nev-3.exe,文件hash值如下:

md5: de1cde20941be48bcf6c2b6b663393a2

sha1: 0a8b22faee05998b05169e0e6190108c6d72021d

sha256: 1142e91de910f5cc3c6bda635b990d6c28142b1818fd21ccb1257b77b75338f8

1651713743_627326cfe6c6b9da896e7.png!small?1651713756034

图1 样本示例

该样本在微步在线情报IOC已被标记为恶意软件(高危)。

1651713779_627326f3a8bdc333de0ef.png!small?1651713791827

图2 样本威胁情报IOC查询

3.2 样本分析

(1)静态分析

使用IDA
打开进行分析后发现Nev-3.exe是一个加载程序,文件运行后会产生一个无运行界面的掩藏程序,该进程的主要作用是判断进程中是否存在AntiAdwa.exe进程。

1651713806_6273270e2d75f866288e9.png!small?1651713818223

图3 样本程序入口函数

1651713822_6273271ecae821c535e02.png!small?1651713834896

图4 程序自动检测是否存在AntiAdwa.exe进程

如果不存在存在AntiAdwa.exe进程,则从远程文件服务器:194.146.84.2:4395下载文件。

1651713836_6273272ca23f748ec4d8a.png!small?1651713848781

图5 样本内置远程C2地址194.146.84.2:4395

(2)使用wireshark抓包分析。

将Nev-3.exe程序在本地运行后,使用wireshark进行抓包可看见有大量的可疑tcp连接。

最低0.47元/天 解锁文章
AIGC_Allen
关注
exe文件检查工具(ExEinfo PE)0.0.3.2 中文绿色完美版
08-04
以前用过个工具对软件进行破解,因为时间关系,一直没有上传到网站上来,今天因为工作的关系,又找出这个exe文件检查工具(ExEinfo PE),找得好辛苦啊,所以马上先放到网上,方便自己又方便朋友们。   ExEinfo PE 是一款免费的Win32可执行程序检查器,它可以检查程序的打包方式,exe保护等,可以帮助开发人员对程序进行破解,我们通常又称为查壳工具。   用这个工具查看软件有没有加壳,或是用什么工具进行加壳的,方便我们使用相关的脱壳工具对软件进行脱壳。 使用方法:   1、下载解压软件后进行运行   2、将需要查壳的exe或是dll文件拖到软件里面,当然也可以使用浏览的形式,不过里好像有点小bug,一开始好慢,好像点用了什么资源。   3、有一个选项,可以让你选择快速扫描,或是其它方式,一般我们无需去设置,直接默认就可以了。 软件截图
查看后门文件
weixin_30435261的博客
10-08 225
linux系统find . -name "*.jsp" | xargs egrep -liw "createNewFile| File\(| File " *.jspwindows系统findstr /S /M /D:e:\T6_lucene /C:"createNewFile" /C:" File " /C:" File(" *.jsp 转载于:https://www.cnblogs.com/w...
ENV文件下载
07-05
山寨平板env文件。希望无触摸屏急用的自己下载,都是网上绝版的,
exe文件后门免杀的制作学习笔记
我的学习笔记
02-28 3253
引用原文!!注:本文技术非原创,转载请直接对原文转载,请不要对本文打赏等,本文为学习笔记,禁止由本文产生任何盈利行为。需要(Framework),一般Windows环境都有,C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\csc.exemsfvenom -p windows/meterpreter/revers...
EXE文件修改后门
05-05
EXE文件后门源码批处理
kernel-devel-3.10.0-693.el7.x86_64.rpm
07-18
Intel的NEV安装过程中缺少的kernel-devel-3.10.0-693.el7.x86_64.rpm, kernel文件的安装
中国汽车业报告:还没到底!-2019.7-63页.rar
09-11
其次,报告可能会重点讨论新能源汽车(NEV)的发展,这是近年来中国汽车行业的重要增长点。政府对新能源汽车的政策支持、技术进步、消费者接受度等因素都可能被提及。此外,报告可能还会分析市场竞争格局,包括本土...
瑞信-亚太地区-投资策略-中国工业:价值链提升-2019.10.18-74页.pdf
04-08
报告着重分析了新能源汽车(NEV)产业链及其对现有工业价值链的影响,以及特定公司(如Hongfa和Sanhua)如何通过提供高附加值产品进入NEV供应链,实现其在全球市场上的领先地位。报告通过对产业趋势、公司市场占有率...
尼尔森-2019年新能源市场及汽车需求研究报告-2019.9-17页.pdf
04-08
根据提供的文件内容,本报告详细分析了2019年新能源汽车市场的发展现状和汽车需求。以下是从标题、描述、标签以及部分内容中提取出的知识点: 1. 报告背景与目的: - 从2012年起,尼尔森每年对新能源汽车市场进行...
给自己的软件添加后门
01-07
C#.NET给自己的软件添加后门
spikesort:用于 NEV 文件的基于 Matlab 的峰值分类器-matlab开发
05-31
这是一个用于 NEV 文件的基于 matlab 的峰值分类器,以及一些用于将其他文件类型转换为 NEV 文件以导入分类器的实用程序。
内核级病毒与木马攻防:windows可执行文件结构解析及常用工具
tyler_download的专栏
07-27 946
大多数人使用windows系统,相必对其.exe结尾的文件印象深刻,执行任何程序时,你双击该文件即可,这个文件就是系统的可执行文件,我们需要了解其组成结构才能对其进行侵入,劫持或注入恶意代码。 .exe文件也叫PE文件,它由一系列段头和段来组成。它一开始是一系列段头数据结构,用于描述各个段的相关性质,接下来就是包含代码和数据的各种段。有几个段特别值得注意,.text段包含CPU可以执行的指令,其他所有段包含数据或者是辅助CPU执行该段里面指令的相关信息,这个段是唯一包含可执行代码的段。.rdata包含引入和
检测捆绑木马及后门de方法
顶峰科技的专栏
01-01 2247
直接进入主题,这些方法是我常用的方法。也是我个人的经验,本人技术有限哪里说得不好请大家见谅。(以下为本人纯手工打,有的为借鉴) 1.手动查找软件捆绑 我这里拿cmd.exe和udp.exe做测试来检测一下捆绑文件的基本释放路径。 我们把我们的准捆绑文件(这里我是捆绑.exe)直接运行,找到C:\Documents and Settings\Administrator\Local Settin
一个感染型木马病毒分析(一)
Fly20141201. 的专栏
08-04 6710
一、 样本信息 样本名称:resvr.exe(病毒母体) 样本大小:70144 字节 病毒名称:Trojan.Win32.Crypmodadv.a 样本MD5:5E63F3294520B7C07EB4DA38A2BEA301 样本SHA1: B45BCE0FCE6A0C3BA88A1778FA66A576B7D50895 电脑中了该病毒的典型的特
计算机丢失amd-ags-x64.dll,修复amd_ags_x64.dll
weixin_32824369的博客
07-24 2万+
amd_ags_x64.dll是电脑系统必备的一个DLL组件修复程序。系统重要文件amd_ags_x64.dll。amd_ags_x64.dll文件是小编专门为您选择的dll组件文件。如果朋友缺少此组件,则可以在解压缩下载包后将其安装在指定的文件夹中。安装教程:1.下载后,根据您的系统选择x86 / x64,x86是32位计算机,x64是64位计算机。如果您不知道它是x86还是x64,您可以逐个尝...
解决由于找不到amd_ags_x64.dll,无法继续执行代码。重新安装程序可能会解决此问题,地平线(Forza Horizon 5)
热门推荐
AI小白炼金术师
04-20 4万+
解决地平线 (Forza Horizon 5)由于找不到amd_ags_x64.dll,无法继续执行代码;
关于exe文件
qq_66592922的博客
02-21 6334
一、EXE文件结构 EXE文件分为两个部分: EXE文件头和程序本体。exe文件比较复杂,属于一种多段的结构,是DOS最成功和复杂的设计之一。每个exe文件包含一个文件头和一个可重定位程序的映像。文件头包含MS-DOS用于加载程序的信息,例如程序的大小和寄存器的初始值。文件头还指向一个重定位表,该表包含指向程序映像中可重定位段地址的指针链表。MS-DOS通过把该映像直接从文件复制到内存加载exe程序,然后调整定位表中说明的可重定位段地址。定位表是一个重定位指针数组,每个指向程序映像中的可重定位段地址。
恶意代码分析实战——静态分析基础技术
最新发布
A1_3_9_7的博客
12-25 1272
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
def upload_xslx(): os.system('/app/coscli sync /app/file/ cos://nev-web-1253306111/ -r') python中这段代码什么意思
03-11
这段代码的意思是使用os.system()函数执行命令'/app/coscli sync /app/file/ cos://nev-web-1253306111/ -r',该命令会将/app/file/目录下的所有文件同步到cos://nev-web-1253306111/目录下。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值