某黑产组织最新攻击样本利用BYVOD技术的详细分析

前言概述

最近一两年BYVOD技术被广泛应用到了各种黑产攻击、APT攻击以及勒索病毒攻击活动当中,笔者近期在对某黑产组织进行跟踪,捕获到该组织的最新攻击样本,通过某安全厂商的驱动漏洞,利用BYVOD技术对抗其他安全软件包括各种EDR、AV、XDR软件等,对该样本进行详细分析,该组织正处于发展阶段,通过肉鸡控制大量主机,从而进行网络违法犯罪活动。

详细分析

1.样本的编译时间为2024年5月23日,如下所示:


2.从远程服务器上下载恶意文件,如下所示:


3.下载过程,如下所示:


4.如果下载失败,则弹出下载失败的提示,如下所示:


5.将服务器上下载的恶意文件,保存到C:\ProgramData目录3.TXT,如下所示:


6.将下载的恶意文件加载到内存中并执行,如下所示:


7.跳转执行加载到内存中的恶意文件代码,如下所示:


8.恶意代码先异或解密下面的代码,如下所示:


9.解密之后的代码,如下所示:


10.获取相关函数地址,如下所示:


11.分配相应的内存空间,如下所示:


12.将之前解密出来的Payload数据拷贝到分配的内存空间,如下所示:


13.拷贝完成之后,如下所示:


14.解密出来的Payload相关的导出函数,如下所示:


15.设置分配内存空间的属性,如下所示:


16.抺去了PE文件前面0x1000大小的内容,如下所示:


17.然后跳转执行Payload模块的入口点代码执行,如下所示:


18.Payload模块主函数代码,如下所示:


19.判断进程是否具有管理者权限,如下所示:


20.判断相应的目录是否存在,不存在则创建相应的目录,如下所示:


21.判断是否存在相关的安全软件,获取需要下载的URL信息,如下所示:


22.从网上下载这些URL文件到创建的目录文件下,如下所示:


23.下载完之后的文件目录,如下所示:


24.再把自身的文件也拷贝到该目录下,如下所示:


25.拷贝完成之后的目录文件列表,如下所示:


26.读取目录下的4.txt文件内容到分配的内存空间当中,如下所示:


27.跳转执行4.txt恶意代码,如下所示:


28.4.txt恶意代码与前面分析的shellcode代码结构相似,前期先异或解密下面的代码,然后分配相应的内存空间,将Payload代码拷贝到内存空间当中,如下所示:


29.拷贝完成之后,再抺掉前0x1000字节,然后跳转执行该Payload入口点代码,如下所示:


30.该Payload主要任务就是创建计划任务自启动项,如下所示:


31.创建的计划任务自启动项,如下所示:


32.下载的1.sys程序是Zemana反恶意软件内核驱动程序,可以利用该驱动漏洞通过BYVOD技术结束安全软件,如下所示:


33.相关的控制码代码,如下所示:


详细的技术分析,可以参考这篇文章:
https://voidsec.com/reverse-engineering-terminator-aka-zemana-antimalware-antilogger-driver/
相关的代码,可以参考:
https://github.com/VoidSec/Exploit-Development/tree/master/windows/x64/kernel/Zemana_AntiMalware_AntiLogger
34.下载的2.txt的恶代码与4.txt恶意代码结构相似,解密出来的恶意代码,如下所示:


35.然后跳转到解密出来的Payload代码处,遍历安全软件进程,如下所示:


36.相关的安全软件列表,如下所示:


37.判断目录下的驱动程序是否存在,然后加载调用驱动,如下所示:


38.然后调用驱动程序结束相关的安全软件,如下所示:


39.相关的调用码ID号为0x80002048,如下所示:


40.主程序设置注册表自启动项,如下所示:


41.获取剪切版内容,保存截屏信息,如下所示:


42.与远程服务器IP为154.19.70.72通信,如下所示:

威胁情报

总结结尾

最近一两年黑产团伙非常活跃,主要通过钓鱼攻击的方式对受害者进行攻击,然后再安装远控后门,控制受害者主机,然后再进行相关的网络犯罪活动,这些黑产组织不断的更新自己的攻击技术,需要持续关注。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/22022.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

单片机+M26429+PAM8403+MH-M18无线蓝牙音频功放设计 原理图PCB源程序

目录 功能描述: 原理图 PCB ​代码 资料下载地址:单片机M26429PAM8403MH-M18无线蓝牙音频功放设计 原理图PCB源程序 功能描述: 1,无线蓝牙连接,手机可控制歌曲音频选择。 2,音频声音的大小可控制一排…

三维模型轻量化工具:手工模型、BIM、倾斜摄影等皆可用!

老子云是全球领先的数字孪生引擎技术及服务提供商,它专注于让一切3D模型在全网多端轻量化处理与展示,为行业数字化转型升级与数字孪生应用提供成套的3D可视化技术、产品与服务。 老子云是全球领先的数字孪生引擎技术及服务提供商,它专注于让…

sectigo和certum ip ssl证书的区别

IP SSL证书是一种数字证书,为客户端和服务器之间的信息传输提供加密服务。但是和应用比较广泛的域名SSL证书相比,IP SSL证书是为只有公网IP地址的网站准备的数字证书。市场上常见的IP SSL证书品牌就是Sectigo和Certum,那么,这两种…

[AI Google] Ask Photos: 使用Gemini搜索照片的新方法

借助Gemini模型,将Google Photos提升到一个新的水平。 Google Photos是我们最早以AI为核心构建的产品之一,让你能够搜索照片和视频中的人、宠物、地点等。现在,我们通过我们最强大的AI模型Gemini对Google Photos进行重大升级。通过Ask Photos…

【C/C++】——小白初步了解——内存管理

目录 1. C/C内存分布 代码区(Code Segment): 数据区(Data Segment): 堆区(Heap): 栈区(Stack): 常量区(Constant Seg…

数据中心横向虚拟化 M-LAG 技术

M-LAG 一、M-LAG概述 1、M-LAG定义:M-LAG(Multichassis Link Aggregation Group)是跨设备链路聚合组。可以将两台设备进行跨设备链路聚合,从而把链路的可靠性从单板机提高到了设备级。 2、优势: (1)、M-LAG系统的两台…

UE 打包报错 MarketplaceRules.dll‘ does not exist.

Precompiled rules assembly /Users/unity/Library/Application Support/Epic/UnrealEngine/Intermediate/Build/BuildRules/MarketplaceRules.dll does not exist. Window下找到该DLL 拷到Mac对应的目录下即可。如没有则需要手动创建相应的文件夹 /Users/unity/Library/Appl…

# 全面解剖 消息中间件 RocketMQ-(5)

全面解剖 消息中间件 RocketMQ-(5) 一、RocketMQ :过滤消息的两种方式 1、Tag 过滤 在大多数情况下,TAG 是一个简单而有用的设计,其可以来选择您想要的消息。 例如: DefaultMoPushconsumer consumer new DefaultM…

文件夹突变解析:类型变文件的数据恢复与预防

在数字化时代,文件夹作为我们存储和组织数据的基本单元,其重要性不言而喻。然而,有时我们可能会遇到一种令人困惑的情况——文件夹的类型突然变为文件,导致无法正常访问其中的内容。这种现象不仅会影响我们的工作效率,…

[MySQL最详细的知识点]

MySQL 关系型数据库以一行作为一个记录,列数据库以一列为一个记录一行是一个记录,一列是一个字段一行是一个实体,一列是一个属性 MySQL引擎: MySQL引擎:可以理解为,MySQL的“文件系统”,只不过功能更加强大。​MySQL引擎功能:除…

mysql 分区

目标 给一个表(半年有800万)增加分区以增加查询速度 约束 分区不能有外键否则会报错 https://blog.csdn.net/yabingshi_tech/article/details/52241034 主键 按照时间列进行分区 https://blog.csdn.net/winerpro/article/details/135736454 参看以…

安全测试 之 常见安全漏洞:CORS

1. 背景 安全测试定义:安全测试,是在软件产品开发基本完成时,验证产品是否符合安全需求定义和产品质量标准的过程。目的:通过对系统进行全面的脆弱性安全测试,发现系统未知的安全隐患并提出相关建议,确保系…

BUAA操作系统万字笔记-课堂笔记-期末考试-考研必备-北航961系列

文章目录 1 概论1.1 CPU漏洞攻击1.2 操作系统简史1.2.1 体系结构1.2.2 系统发展 1.3 操作系统基本实现机制1.3.1 异常:陷阱和中断 2 系统引导3 内存管理3.1 预备知识-链接与装载3.2 存储管理基础3.2.1 存储器管理目标3.2.2 存储器硬件发展3.2.3 存储管理的功能3.2.4…

【python】成功解决“TypeError: not enough arguments for format string”错误的全面指南

成功解决“TypeError: not enough arguments for format string”错误的全面指南 一、引言 在Python编程中,TypeError: not enough arguments for format string错误是一个常见的字符串格式化问题。这个错误通常发生在使用str.format()方法时,提供的参数…

frp之XTCP实现内网穿透家用电脑远程桌面公司电脑

官网XTCP介绍 《XTCP介绍》 实现图 fprs.toml # frps 服务端口(不填,则默认:7000) bindPort 81 auth.token "token 令牌"公司电脑frpc.toml serverAddr "frps公网服务器域名或ip" serverPort frps 服…

Java图形用户界面程序设计所需要使用的工具

Java图形用户界面程序设计 前言一、图形用户界面程序设计的概述GUI概述Java GUI技术的发展 二、AWT概述简介AWT继承体系总结 三、Swing概述Swing概述优势Swing的特征总结 前言 推荐一个网站给想要了解或者学习人工智能知识的读者,这个网站里内容讲解通俗易懂且风趣…

Python程序设计 身份证号的奥秘

第1关:判断性别 通过身份证的第17位也就是倒数第二位的数字可以辨别该身份证所属人的性别,奇数为男性,偶数为女性。 任务:输入身份证号,第17位若是偶数,输出男性,否则输出女性 如何截取字符串的一个字符 如何判断一个…

机器视觉检测--相机

一,相机就是CCD么? 通常,我们把相机都叫作CCD,CCD已经成了相机的代名词。其实很可能正在使用的是CMOS。CCD以及CMOS都称为感光元件,都是将光学图像转换为电子信号的半导体元件。他们在检测光时都采用光电二极管&#…

AI降痕:让AI代写的论文,也能成为原创佳作

随着人工智能技术的突飞猛进,AI生成内容(AIGC)已被广泛用于学术论文撰写中,提高效率同时也带来了原创性的挑战。面对日益严格的学术审查,一个突出的问题是:使用AI代写的论文能否通过内容检测?因…

【Postman接口测试】第四节.Postman接口测试项目实战(中)

文章目录 前言五、Postman断言 5.1 Postman断言介绍 5.2 响应状态码断言 5.3 包含指定字符串断言 5.4 JSON数据断言六、参数化 5.1 Postman参数化介绍 5.2 Postman参数化实现 5.3 针对项目登录接口参数化实现 总结 前言 五、Postman断言 5.1 Postman断言介…