| 关联规则 | 关联知识 | 关联工具 | 关联文档 | 关联抓包 |
| 参考1(官网) | |
| 参考2 | |
| 参考3 |
[SAFE-ID: JIWO-2025-3507] 作者: ShYLie 发表于: [2025-02-20]
本文共 [32] 位读者顶过
前言概述[出自:jiwo.org]
最近几年“银狐”类黑产团伙非常活跃,今年这些黑产团伙会更加活跃,而且仍然会不断的更新自己的攻击样本,采用各种免杀方式,逃避安全厂商的检测,此前大部分“银狐”黑产团伙使用各种修改版的Gh0st远控作为其攻击武器,远程控制受害者主机之后,进行相关的网络犯罪活动。
近日发现一些“银狐”的最新攻击样本,如下所示:
HFS服务器是"银狐"类黑产组织经常使用的文件服务器,从该HFS服务器上下载样本,对样本进行了简单的分析。
样本分析
1.样本采用UPX加壳,如下所示:
2.使用工具脱壳,如下所示:
3.脱壳之后主程序入口代码,如下所示:
4.解密程序中的加密数据,如下所示
5.待解密的数据,如下所示:
6.解密完成之后,如下所示:
7.解密出来的PayLoad的导出函数,如下所示:
8.匹配到相应的Gh0st规则,如下所示:
可以确认该样本是银狐最新的攻击样本,疑似使用了Gh0st SVIP7版本修改的,其他分析省略,有兴趣的可以自行研究一下。
