其他
浅析一个海莲花样本
本文为看雪论坛优秀文章
看雪论坛作者ID:1行
目录
前言执行流程
详细分析
样本概括
wwlib.dll
第一段 shellcode
第二段 shellcode
第三段 shellcode
总结
前言
很早之前就对APT组织的攻击方式感兴趣,因为他们的传播方式、隐藏方式、攻击方式都让人眼界大开,也可以拓展分析思路的。所以就找了一个海莲花的样本来尝试分析,收获满满。
执行流程
利用微软白文件加载恶意wwlib.dll文件,释放出隐藏的doc文件,并在内存中释放出3段shellcode,最后获取恶意程序的链接并下载。
详细分析
样本概括
EXE文件是带有微软签名的合法 word 程序,攻击者通过该程序加载恶意的 wwlib.dll 文件来释放 shellcode 进行攻击。
wwlib.dll
exe文件调用dll,所以可以在 Loadlibrary 函数处下断点,来等待加载。
第一段 shellcode
从一个巨大的字符串数组中循环取出字符串后,经过解密算法来算出需要的函数字符串名称,如LoadlibraryA、VirtualAllocEx等。
第二段 shellcode
解密shellcode之后,会调用第二段shellcode。
第三段 shellcode
以创建进程的方式运行第三段 shellcode:
总结
分析了这个样本感觉收获很多,首先是对白加黑的投递方式有了更深的理解,其次是对shellcode内存荷载的多阶段释放印象深刻。 对于海莲花这种靠后梯队的APT组织来说,他所投递的样本相对高梯队的APT组织投递的样本,分析难度还是较低,至少有迹可循。 样本IOC:
SHA256 - c0ea37db94aa0d747ece7f46afcf90e43fb22c06731f291f0b2ba189d4326e33.rar
https://app.any.run/tasks/b3205da7-8c88-4375-bc87-ffbb985f01b8
看雪ID:1行
https://bbs.pediy.com/user-home-860119.htm
*本文由看雪论坛 1行 原创,转载请注明来自看雪社区。
推荐文章++++
求分享
求点赞
求在看