Hello World
Welcome to Hexo! This is your very first post. Check documentation for more info. If you get any problems when using Hexo, you can find the answer in troubleshooting or you can ask me on GitHub.
Quick StartCreate a new post1$ hexo new "My New Post"
More info: Writing
Run server1$ hexo server
More info: Server
Generate static files1$ hexo generate
More info: Generating
Deploy to remote sites1$ hexo deploy
More info: Deployment
警惕,后门病毒签署有效数字签名驱动对抗防病毒软件
警惕,后门病毒签署有效数字签名驱动对抗防病毒软件一、背景近期捕获到一组后门病毒样本,使用 pyinstaller 打包,如下图所示:
样本使用 pyinstaller 打包,解包后内部核心功能编译成 app.cp38-win32.pyd,使用 UPX 压缩壳打包,如下图所示:
经过分析研判,确认样本与鹰眼威胁情报中心金山毒霸安全团队于 2023 年 8 月 7 日发布的分析报告《黑产团伙利用SEM渠道投放CS远控木马》所属组织同源。
二、详细分析以样本 fw1.exe 为例,我们粗略观察到样本存在以下行为:
将自身复制到 AppData\Roaming\CleverSoar 目录内,并将其命名为 cleversoar.exe
在 AppData\Roaming\CleverSoar 目录内释放 drv-loader.exe(驱动加载器) 与 kavservice.bin(驱动程序),由drv-loader.exe加载kavservice.bin
样本运行后会对防病毒软件、任务管理器、注册表编辑器进行对抗(强制结束指定进程)部分行为,如下图所示:
由于本次样本的 app.cp38-w ...
重磅,假冒 Google Chrome 安装程序(携带有效数字签名)劫持用户浏览器主页
重磅,假冒 Google Chrome 安装程序(携带有效数字签名)劫持用户浏览器主页一、背景近日,在进行日常样本捕获过程当中发现一假冒的 Google Chrome 安装程序,携带“上海都点网络科技有限公司”有效数字签名,如下图所示:
该样本来源于某假冒 Google Chrome 下载的恶意网站(chrome[.]jshkck[.]cn),该网站为了躲避安全分析研究人员的分析,其加载的加密 js r.js 会使得浏览器的 F12 审查元素无法正常工作,如下图所示:
并且发现,如果将 r.js 进行阻断,或使用查看网页源代码的方式查看下载 URL,得到的下载 URL 与直接下载得到的URL与文件名称并不相符,如下图所示(左图正常访问下载,中图阻断干扰调试的 r.js 进行下载,右图为网页源代码):
可以显而易见地看到,只有正常下载时才会下载得到带有数字文件名称的恶意安装程序
并且在无 cookies 的情况下,该链接无法被访问,如下图所示:
同时还发现每次下载时该链接与下载文件名称当中的数字不一定会相同,如下图所示:
测试时环境下三次下载得到的文件 Hash 值,如下图所示:
我们发 ...