远控服务器 木马
远控后门小马,求大神分析
匿名用户 2020-06-06 18:14:09 1018人浏览

求大神分析

ip地址(3) 威胁情报数目 开放端口 所属域名 相关样本 微步标签 < 1/1 >
what 2020-06-12 17:03:52 回复
匿名用户 2020-06-09 14:45:47 回复
1.样本复制自身到C:\Windows\Temp\dasHost.jpg
2.样本解密字符串http://qbc2iv44a.BkT.ClOuDdN.cOm/2.xml
3.访问http://qbc2iv44a.BkT.ClOuDdN.cOm/2.xml获取到一个xml文件
4.2.xml文件内带有一个.net的dll,负责进行文件下载
5.2.xml中的url等信息http://qbc2iv44a.bkt.clouddn.com/temp.dp@http://qbc2iv44a.bkt.clouddn.com/2.rar@c:\ProgramData\$12QB45221$@QQ20190522141458.png@DX11CallerWrapper.exe
6.temp.dp是一个exe程序,功能是解压文件
7.2.rar是个压缩包,由temp.dp解压。
8.包含文件:Bootcamp.dll dwbase.dll dwutility.dll DX11CallerWrapper.exe QQ20190522141458.png WindowsUpdate.txt zlibwapi.dll
9.DX11CallerWrapper.exe和dwutility.dll有yy的官方签名。Bootcamp.dll和dwbase.dll无签名,dwbase.dll为dll劫持进行恶意代码执行。
10.在DX11CallerWrapper.exe加载完dwbase.dll后,dwbase.dll会将WindowsUpdate.txt解密为可执行文件,放在C:\Users\user\AppData\Roaming\LeagueClient并执行
11.dwbase.dll负责进行网络通信,LeagueClient可进行shell执行
xxx 2020-06-09 21:07:07 回复