APT37攻击朝鲜记者
Fantasy会注入被XOR加密的payload,在数据结构中定义加密的XOR密钥,payload大小,加密的数据内容。
最终stage-GOLD-BACKDOOR和2021年8月Volexity披露的bluelight几乎吻合。
D:DevelopmentGOLD-BACKDOORReleaseFirstBackdoor.pdb
E:DevelopmentBACKDOORncovReleasebluelight.pdb
GNU字符串工具可以看到嵌入在word中的lnk
参考链接:
The ink-stained trail of GOLDBACKDOOR
AvosLocker勒索
在aswArPot.sys中,我们在一个switch case 中分支:case 0x9988C094:带有函数 sub_14001DC80,该函数具有清除杀毒软件的作用。
Avast官网:我们可以确认旧版驱动程序 aswArPot.sys 中的漏洞,我们在 2021 年 6 月发布的 Avast 21.5 中修复了该漏洞。
使用 C:temppassstart.exe 执行密码恢复工具 XenArmor
利用黑客工具Impacket进行横向移动
BlackByte勒索
基于go语言编写,使用AdvObfuscator加密大多数字符串。
通过解除镜像劫持防止被调试,注册表位置:
SOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options
检测的进程如下
vssadmin.exe
wbadmin.exe
最后
以上就是俊秀小懒虫最近收集整理的关于恶意软件免杀与技术(2022.05.05)的全部内容,更多相关恶意软件免杀与技术(2022内容请搜索靠谱客的其他文章。
本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
发表评论 取消回复