某个样本的简单调试
啰哩啰嗦的一些话
某天接到一个样本,甲方说有异常,前场的人跑网络流量也没跑出啥,微步说有异常,也不知道啥毛病,找我们做技术支持,我就给他们简单分析了一下子
分析过程
直接下断调试,发起网络请求
访问恶意地址,微步关于这个地址没有给恶意,是阿里云的,
url是这个https://47.107.70.227/fate-zero/holy-grail.bmp
从关联的域名来看,更像是个电商的网站
继续调试,发现他访问了一些很奇怪的网址
地址=70A04021
反汇编=shr dword ptr ds:[eax+esi*2+70ACD1A0],1
字符串=L"t3l3p0rt.net"==&L"F 中的段落名标记不完整,或是没有单独在一行上。\r\n"
地址=70A04039
反汇编=shr byte ptr ds:[eax+esi*2+70ACD250],cl
字符串=L"potager.org"
地址=70A04039
反汇编=shr byte ptr ds:[eax+esi*2+70ACD250],cl
字符串=L"potager.org"
地址=70A04065
反汇编=shr dword ptr ds:[eax+esi*2+70ACD378],cl
字符串=L"bplaced.com"
地址=70A04065
反汇编=shr dword ptr ds:[eax+esi*2+70ACD378],cl
字符串=L"bplaced.com"
微步给的白名单,由于样本给的不是很完整感觉,所以只分析到这
样本相关的沙盒信息
https://www.hybrid-analysis.com/sample/1d90b987041490e2aee7de22c31d45fd177e99bc55ea3d794907c77123491269、
https://analyze.intezer.com/analyses/7566e492-93da-4abb-91a4-1ae233f4540b
https://otx.alienvault.com/indicator/file/1d90b987041490e2aee7de22c31d45fd177e99bc55ea3d794907c77123491269