文章插图
calldll在导出表中
文章插图
calldll函数体很简单,就执行来一个call sub_10001280 我们跟进到该函数 。
sub_10001280 首先是通过strcpy复制了一个看起来像是加密字符串的东西到变量bbLorkybbYngxkjbb]khbbmgvjgz4k~k
文章插图
该字符串暂时在google上没有检出:
文章插图
回到代码中,接下来程序会对上面的字符串进行解密:
文章插图
调试器中直接在calldll函数这里设置eip然后运行:
文章插图
F7跟进进来
文章插图
成功解密之后发现就是先前看到的路径
文章插图
回到IDA中进行标注后继续往下看,成功解密之后,尝试打开文件对象,打开失败,则push16A26h然后执行slepp,sleep之后调用sub_10001000,这里的sleep应该是用于反沙箱的
文章插图
sub_10001000的内容非常明显,是解密URL并请求,所以很明显,sqlmap.dll是一个Download,比较直观的C位代码显示:
文章插图
根据之前看到的信息,可以猜测这里是解密了域名之后,下载文件保存到之前看到大小为0kb的路径下,然后通过计划任务持久化执行 。解密得到DNSresolve.live
文章插图
该地址已经跟donot关联了起来
文章插图
解析参数是
文章插图
但是目前这个地址404了,不知道是不是我请求姿势的问题
文章插图
于是查询了一下h6s87ehsci75sgats关键字:
文章插图
发现沙箱和vt也是404,这里后续就断了
文章插图
加上header也是404
文章插图
那么此次攻击分析到这就没有后续了,不知道是不是因为样本曝光,攻击者撤销了后续下载样本的原因 。还是攻击者已经通过bat文件实现了本地持久化,所以故意暂时没有开放目标地址,防止分析人员,等热度过去了之后,再放开这个地址 。如果是后面这种情况,可以考虑写脚本监视这个地址,看看过段时间是否有返回 。
文章插图
专栏
内网渗透基础课程
作者:安界
99币
1人已购
查看0x04 总结在本小节中,我们对office恶意宏代码有了概要的了解并且通过两个简单的apt样本进行了分析,我们可以看到,宏代码在实际攻击中使用是非常广泛的,因为宏代码嵌入在文档中,是最容易和用户进行交互的部分,也往往是攻击者攻击中的第一部分 。在本小节中我们分析了两个xls文档的宏代码,在下一小节我们将对带有混淆和反调试的宏代码进行调试和分析 。
文章插图
推荐阅读
![[咖门红]新湖期货郑州:“妖糖”的走势与操作分析](https://imgcdn.toutiaoyule.com/20200428/20200428084015539633a_t.jpeg)
- 让恶意营销号无处遁形
- 淘宝运营怎么做数据分析 淘宝如何分析产品数据
- 用了它,一行代码就能恢复 Windows 误删文件
- 淘宝怎么看数据,怎么分析数据 淘宝主要看哪些数据
- 茶味的科学分析,茶水去油漆味的原理
- MySQL Binlog 技术原理和业务应用案例分析
- 产品经理的福音?亚马逊推出Honeycode,零代码即可开发软件
- 降维算法:主成分分析 VS 自动编码器
- 数据库服务器主机重启故障诊断分析
- 淘宝店铺买家恶意差评怎么办 淘宝客户恶意评价怎么处理