深入分析由黑客组织DarkHydrus使用的Powershell恶意软件
发布时间:2022-06-28 10:02:44 所属栏目:安全 来源:互联网
导读:MD5: .iqy: 377cfd5b9aad2473d1659a5dbad01d90 Downloader: bd764192e951b5afd56870d2084bccfd Final Stage: 953a753dd4944c9a2b9876b090bf7c00 从Unit 42的博文我们得知,DarkHydrus利用包含受密码保护的RAR文件的鱼叉式钓鱼电子邮件来感染他们的目标。
|
MD5: .iqy: 377cfd5b9aad2473d1659a5dbad01d90 Downloader: bd764192e951b5afd56870d2084bccfd Final Stage: 953a753dd4944c9a2b9876b090bf7c00 从Unit 42的博文我们得知,DarkHydrus利用包含受密码保护的RAR文件的鱼叉式钓鱼电子邮件来感染他们的目标。这个RAR文件包含一个含有URL的.iqy文件(Internet查询文件)。由于IQY文件在默认情况下是由Excel打开的,因此在执行这个IQY文件时,Excel会通过包含在.IQY中的URL来检索内容(检索操作在弹出一组警告窗口之后进行)。下面让我们来具体看看这个IQY文件: 正如你所看到的那样,在文件执行时,我们收到了来自MicrosoftExcel的警告,指出运行IQY文件存在安全隐患。为了继续运行该文件,我们需要单击“Enable”。那么,在单击“Enable”之后会发生什么呢? 由于它们使用的是相同的Powershell混淆技术,因此我们可以使用下图中的python脚本来对有效载荷(payload)进行解编码和解压缩。 之后,我注意到了一些关键字,如VBox、VirtualBox、Qemu等,因此我前面提到的“怀疑这可能是一种反分析方法”的想法是正确的。DNS通信基于以下queryTypes变量: "A", "AAAA", "AC","CNAME", "MX", "TXT", "SRV","SOA"; 在分析C2协议前,我想弄清楚恶意软件所使用的反分析方法。 (编辑:PHP编程网 - 黄冈站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330482号