恶意软件免杀与技术（2022.05.05）

APT37攻击朝鲜记者

Fantasy会注入被XOR加密的payload，在数据结构中定义加密的XOR密钥，payload大小，加密的数据内容。
最终stage-GOLD-BACKDOOR和2021年8月Volexity披露的bluelight几乎吻合。
D:DevelopmentGOLD-BACKDOORReleaseFirstBackdoor.pdb
E:DevelopmentBACKDOORncovReleasebluelight.pdb

GNU字符串工具可以看到嵌入在word中的lnk

参考链接：
The ink-stained trail of GOLDBACKDOOR

AvosLocker勒索

在aswArPot.sys中，我们在一个switch case 中分支:case 0x9988C094:带有函数 sub_14001DC80,该函数具有清除杀毒软件的作用。
Avast官网：我们可以确认旧版驱动程序 aswArPot.sys 中的漏洞，我们在 2021 年 6 月发布的 Avast 21.5 中修复了该漏洞。
使用 C:temppassstart.exe 执行密码恢复工具 XenArmor
利用黑客工具Impacket进行横向移动

BlackByte勒索

基于go语言编写，使用AdvObfuscator加密大多数字符串。

通过解除镜像劫持防止被调试，注册表位置：
SOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options
检测的进程如下
vssadmin.exe
wbadmin.exe

最后

以上就是俊秀小懒虫为你收集整理的恶意软件免杀与技术（2022.05.05）的全部内容，希望文章能够帮你解决恶意软件免杀与技术（2022.05.05）所遇到的程序开发问题。

如果觉得靠谱客网站的内容还不错，欢迎将靠谱客网站推荐给程序员好友。