前言概述

最近逛malware-traffic-analysis网站，发现DBatLoader/GuLoader恶意软件最新攻击链样本，比较有意思，如下所示：

[出自:jiwo.org]

从该网站下载样本之后，对该最新攻击链样本进行了详细分析，分享出来供大家参考学习。

详细分析

1.初始样本是一个包含CVE-2017-0199漏洞的XLS文件，解析OLE里面的流数据，包含一个URL链接，如下所示

2.由于漏洞，会自动连接下载URL，URL跳转到另外一个URL链接，并下载对应的HTA恶意脚本文件，如下所示：

3.下载的HTA恶意脚本，如下所示：

4.恶意脚本执行之后，会调用PowerShell执行恶意脚本，恶意脚本的内容，如下所示：

5.解密PowerShell脚本里面的加密数据，解密之后，该恶意脚本会从远程服务器下载另外一个VBS恶意脚本，如下所示：

6.下载的VBS脚本，如下所示：

7.解密里面的加密数据代码，解密之后，如下所示：

8.解密之后的PowerShell脚本，会从远程服务器下载一个JPG图片，然后解密里面的加密数据，并加载执行，如下所示：

9.JPG图片中包含的加密数据，如下所示：

10.解密该数据之后是一个PayLoad，如下所示：

11.该PayLoad是一个NET程序，样本编译时间为2024年12月13日，如下所示：

12.通过分析为一个TaskSchedular程序，如下所示：

开源代码地址：https://github.com/dahall/taskscheduler

13.从远程服务器上下载相关的恶意代码，并加载执行，如下所示：

14.通过VIA函数加载下载回来的恶意代码，如下所示：

15.解密远程下载的恶意代码，为一个PayLoad程序，如下所示：

16.解密出来的PayLoad对受害者主机进行屏幕记录，如下所示：

17.屏幕截取记录过程，如下所示：

18.获取主机相关信息，如下所示：

19.进行键盘记录操作，如下所示：

20.关闭进程，如下所示：

21.上传受害者信息，到远程FTP服务器，如下所示：

22.上传到远程FTP服务器过程，如下所示：

23.远程FTP服务器地址ftp://ftp.horeca-bucuresti.ro，FTP远程服务器的用户名和密码，如下所示：

24.盗取Thunderbird数据库信息，如下所示：

25.盗取UCBrowser浏览器的登录用户信息，如下所示：

威胁情报