海莲花APT组织样本分析

寒江独钓_ 看雪学苑 2022-07-01

看雪论坛作者ID：寒江独钓_

利用wirkeshake抓包初步分析

此样本是从网络搜集下载，用以个人研究，不足之处请多指教！

话不多说，直接开始。经典的图标伪装，伪装成一个DOC文档，以为换个马甲就不认识你了！

朋友来了有好酒，敌人来了有猎枪，先上老三样。

自解压格式

好了，是骡子是马拉出来溜溜吧！

好家伙，一窝全是，您可真能生！李鬼就是李鬼，弄个假的看不起谁呢。

里应外合，谋财害命。

爬我墙头。

意料之中。

小结：经典的白+黑加载方式，先释放白+黑程序，然后启动白程序MicrosoftUpdate.exe，再通过MicrosoftUpdate.exe加载SoftwareUpdateFiles.Resources下的 SoftwareUpdateFilesLocalized.dll恶意程序。

使用OD详细分析

读取SoftwareUpdateFiles.locale中的内容：

解密数据：

执行解密后的数据（因为中途跑飞了所以地址有一点变化，不影响分析，忽略即可）：

生成假文档迷惑用户：

通过LoadLibrary和GetProcAddress获取函数地址：

最后退出程序：

先分析到这里。

看雪ID：寒江独钓_

https://bbs.pediy.com/user-home-941725.htm

*本文由看雪论坛寒江独钓_ 原创，转载请注明来自看雪社区

# 往期推荐

1.详解七句汇编获取Kernel32模块地址