V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
wuhaisen
V2EX  ›  信息安全

被分享一个病毒网站,有没有大佬看看这个做什么的

  •  
  •   wuhaisen · 95 天前 · 2837 次点击
    这是一个创建于 95 天前的主题,其中的信息可能已经有所发展或是发生改变。
    16 条回复    2024-08-16 08:31:12 +08:00
    wuhaisen
        1
    wuhaisen  
    OP
       95 天前
    frencis107
        2
    frencis107  
       95 天前
    wuhaisen
        3
    wuhaisen  
    OP
       95 天前
    @frencis107 感谢,这页面做的还挺真
    restkhz
        4
    restkhz  
       95 天前   ❤️ 1
    网站伪装成什么税务检查,要下载什么玩意儿,给弹一个 exe 马要下载。
    部署的有点好玩,云下载但他加了一个 php 访问计数。所以访问计数器的时候你这可以把他 php 计数器脚本直接下载下来。不知道是因为批量部署还是因为攻击者没有 web 技术。
    然后这个计数脚本像 chatGPT 生成的,你发的那个链接那部分 AJAX 可能也是 chatGPT 生成的。

    马还不错,看着沙盒分析这个马走的流程挺漂亮的,反调试反沙箱,加密的 shellcode 伪装成图片下载,本地解密后加载。但是感觉好像有人修补过像二创或者几创了。沙盒猜这个是银狐。

    回答你的问题:这个网站就骗你下载 exe 马。背后人应该就是对公司企业商业数据有兴趣的那种。
    iceme
        5
    iceme  
       95 天前
    hw 钓鱼吧
    asdgsdg98
        6
    asdgsdg98  
       95 天前
    下载了用卡巴斯基扫描,提示安全……
    杀毒软件也不靠谱啊
    Loading51
        7
    Loading51  
       95 天前
    @asdgsdg98 用 windows 自带的杀毒扫,必中
    proxytoworld
        8
    proxytoworld  
       95 天前
    一个垃圾病毒罢了,混淆都没做,读取钉钉、qq 那些数据,执行代码。
    proxytoworld
        9
    proxytoworld  
       95 天前
    @restkhz 真的写得不错嘛?一点技术都没看出来
    asdgsdg98
        10
    asdgsdg98  
       95 天前
    @Loading51 看来还是 Windows defender 厉害,除了比较吃性能
    Ackvincent
        11
    Ackvincent  
       95 天前
    已上报
    Harharhar
        12
    Harharhar  
       95 天前   ❤️ 1
    一眼银狐组织。最近非常活跃,攻击流程主要是针对财务人员进行钓鱼,拿到机器控制权后通过被控机上的 微信/钉钉/QQ 横向传播。
    同时会利用社交软件中的好友/群聊关系获取高价值的目标进一步钓鱼,最终目的是经济利益,比如诈骗、金融账户的账户密码
    restkhz
        13
    restkhz  
       95 天前   ❤️ 4
    @asdgsdg98 是这个样子的。其实卡巴已经很严格了,WD 就更牛逼了。


    @proxytoworld 也可能是我比较菜,不过我还是想解释一下为什么我说好。

    你看到的这个程序只是一个加载器,只有 196kb 。真正的恶意部分不在这里。莫名其妙混淆加壳只会增大嫌疑。
    本体其实是在网络上的机器码。和 0x69 按位异或(简单加密一下),伪装成图片被它下载下来的。这个“图”有 4.5MB 。

    好,那么从哪里下载下来的?沙盒分析出来了。但是你要自己逆向的话也可以。这个 URL 没有加密,但在.data 段里故意被拆分开来。应该是为了防止直接被杀软识别出程序里打开 URL 的 API 直接有对应的 URL 。编写的人应该是有经验的。

    然后这个加载器会在内存里开辟一块空间,然后把解密后的机器码放进去,加执行权限,上个函数指针,而后调用。

    这个开辟空间用的函数都是动态加载的,但是也没有用 LoadLibrary ,感觉挺别致的。这个技术我真不会。

    那为什么一个加载器对 dingding 和 QQ 感兴趣?
    这里我没有逆向出原因,但是我猜测这是为了精确攻击的一个方法。没 QQ 或者钉钉的机器可能不是他的目标,哎,我就直接把自己删了,而后退出。防止搞到处都是被人捕捉分析。毕竟免杀马要花钱的。但是不知道为什么似乎在沙箱里没被激活这个 kill switch.当然功能上我也没有继续分析了。

    简单说一下那个 4.5M 的机器码吧,解密后翻转,里面东西就很丰富了。有 C2 地址,还有很多杀软的名字和路径,还有很多预先定义好的命令......甚至有一个开票软件的下载 URL ,所以不排除在成功运行后下载一款真的增值税开票软件......

    顺便,那个 c2 也下了一点功夫隐藏自己。
    我不想说整个攻击链的下游水平怎么样,但是我觉得这个马是可以的。算是有花心思策划过的而不是直接上个 CS 或者什么玩意儿。
    我就不继续深挖了。
    proxytoworld
        14
    proxytoworld  
       95 天前   ❤️ 1
    @restkhz 这个 loader ,直接就用 getprocaddr virtualalloc 这些 api 函数,特征太明显了,字符串还是硬编码的,简单的异或都没有,高级一点的都是用 hash 去找函数 去 hook ,甚至自己 load 进内存解析,这些都是很成熟的技术了,动态调用 api 。

    高级免杀技术往往都是很复杂的
    proxytoworld
        15
    proxytoworld  
       95 天前
    甚至 upx 壳都不愿意加一个
    Tink
        16
    Tink  
       95 天前
    银狐啊,前两天公司有人中了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5893 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 01:40 · PVG 09:40 · LAX 17:40 · JFK 20:40
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.