恶意软件免杀与技术(2022.05.05)
APT37攻击朝鲜记者Fantasy会注入被XOR加密的payload,在数据结构中定义加密的XOR密钥,payload大小,加密的数据内容。最终stage-GOLD-BACKDOOR和2021年8月Volexity披露的bluelight几乎吻合。D:\Development\GOLD-BACKDOOR\Release\FirstBackdoor.pdbE:\Development\BACKDOOR\ncov\Release\bluelight.pdbGNU字符串工具可以看到嵌入在word中的
