APT_海莲花分析报告02
2020年的2月前后,我国爆发了急剧传染性质的新型冠状病毒(2019-nCoV),举国上下防范新型冠状病毒。然而却有不法分子借由此热点事件来传播电脑病毒。就如本片文章分析的由"`海莲花(OceanLotus)`"组织发起的的恶意攻击,借由新型冠转病毒这一热点事件来诱导受害者运行恶意文件,来达到往目标主机植入远控软件的目的。
构造自解压包
近期在分析Mykings样本时,其中有利用Zip自解压程序释放多个文件并运行其中解压出来的文件。因此本文就介绍一下如何通过WinRar来制作自解压文件并执行压缩文件。
GandCrab V5.2解密工具
本文主要写的是针对GandCrab V5.2所完成的解密工具。该修复解密报告主要针对GandCrab v5.2的两个版本进行修复的。在分析GandCrab V5.2时,偶然发现v5.2版本就目前我所发现的有两个不同的版本,修复工作也考虑到两者的差异,进行兼容两者都修复。
APT_海莲花分析报告01
海莲花(又名APT32、OceanLotus),被认为是来自越南的APT攻击组织,自2012年活跃以来,一直针对中国大陆的政府部门、海事机构、外交机构、大型国企、科研机构以及部分重要的私营企业等进行攻击活动,是近几年来针对中国大陆进行攻击活动最活跃的APT攻击组织,甚至没有之一。
Ramnit感染病毒分析报告
本文主要涵盖对Ramnit家族的3个变种(Ramnit.X,Ramnit.AS和Ramnit.A)的分析以及修复方案。其中Ramnit.X变种和Ramnit.AS变种感染文件的方式与之前分析的06—感染型病毒是一样的,所以本文将以Ramnit.A为主要分析对象来进行说明,并会说明Ramnit.A与Ramnit.X变种和Ramnit.AS变种的不同点。由于本文主要是对Ramnit家族的分析与修复方案,将不会特别细致的阐述每一个点,若想看更加详细的分析或想看Ramnit.X变种和Ramnit.AS变种的详细分析,可看Ramnit感染病毒分析报告02。
MBR感染病毒分析报告
该样本为MBR感染型病毒,其通过修改原始MBR,从而实现在开机运行操作系统之前,执行修改后的MBR中的指令,其对系统进行了3次Hook,最终再开始时加载其写入的驱动文件来实施攻击。经过分析该样本只针对于XP操作系统进行攻击,攻击手段十分隐蔽,并且攻击十分底层,一般情况下很难发现该恶意样本的恶意源头。
挖矿木马分析报告
该挖矿木马感染受害主机后,会将自身复制到`%AppData%目录`下,并以svchostx64.exe来命名,从而伪装自身。然后通过创建计划任务来维持该样本运行。样本文件的`.plato节表`中包含了一个开源的矿机`XMRig.exe`,该恶意样本再执行时通过创建自身傀儡进程,将开源矿机`XMRig.exe`注入其中,从而实现利用受害主机资源来进行挖矿。该样本不仅会判断受害主机当前是否处于空闲,还会监控进程。当不空闲时(也就是用户正在执行操作时)或是监控到任务管理器进程时,便结束傀儡进程,终止挖矿,来隐藏自身不被发现。
宏病毒_APT分析报告
该样本通过宏代码访问网址中的JS代码,调用mshta执行JS代码解析出的VBS代码。其中多重混淆,并且全程都是以无文件方式执行的,从指定URL上获取两端PE数据流,通过反射加载来创建傀儡进程执行远控程序,在一定程度上可以逃避杀软的查杀,可见该样本的执行过程十分隐蔽,技术手段高超。
宏病毒分析报告
该样本通过宏代码,将存储在Excel表中的PE数据,写入DLL文件中,然后加载该DLL文件,执行其函数,最终实现将主机信息发送至远端服务器,并从远端服务器下载文件执行。
CrackMe 1
该CrackMe是奇兵在第一次考核中出的一题,其中有3个反调试,并根据反调试的检测,结果生成不同的KEY。然后利用生成的KEY与密码进行异或,再拿异或后的结果进行比较。只有检测到没有被调试时,该KEY的值才能与密码异或出的结果,才能比较成功。
