似乎发现了一种新的木马病毒
- 内容介绍
- 文章标签
- 相关推荐
事先确认:这玩意不是银狐 也并非其变种!
CrowdStrike拦截的病毒 差一点就给我打开了 但是它入库给我样本扬了 所以目前只能先说llvm反编译并作二进制工程后的分析结果 如果有人提取到了攻击类型相同的样本麻烦发一下谢谢喵
这玩意是我原本在翻qemu便携版的时候找的鬼玩意喵
攻击目标: Windows
沙盒测试机: Windows 11 25H2 Pro Workstation KMS Activate
攻击路径推演:
qemuinstaller.msi内嵌恶意载荷
释放qemupak.zip(我原本想提取这个)&aakkqsw.exe&criteria.dll
启动aakkqsw.exe 此exe拥有EV签名 似乎是某个杀毒软件的exe 然后它会加载断言查询器 此时criteria.dll发挥作用 利用其EV信任开始横向移动 释放多个随机名称jpg 使用shmemfd-map等方式打开 提取有效位最后一个字节作为XOR-KEY 然后解密后面的内容 后面的内容是一段混淆的亲妈都不认识的TCL脚本 这个图片是rickroll我帮你们看了喵 然后通过COM特殊反射和schwtask创建任务 潜伏开始
顺带一提 这玩意巨tm神人 所有逻辑都是TCL写的 但是它自带的TCL解释器里面有一些内存读写啥的扩展 因此能正常实现喵 当然有部分逻辑还是C++喵 用的是MSVC编译喵
约30min后 schwtask启动 rpc-call了service.exe并启动SYSTEM权限svhost.exe 马上pause并注入恶意代码 修改执行指针 resume svhost开始执行恶意代码 利用SYSTEM执行操作并创建一个傀儡dwm.exe 同样手法注入 但是dwm此时会主动提权到TrustedInstaller 然后释放Ring0.sys并加载 利用它执行msr瞎改VMX寄存器破坏360的vtd保护 同时将AMSI函数全部改成retn 禁用回调并破坏大量杀软的驱动内存 随后ZwProcessKill干爆tray等 加载ELAM(root
事先确认:这玩意不是银狐 也并非其变种!
CrowdStrike拦截的病毒 差一点就给我打开了 但是它入库给我样本扬了 所以目前只能先说llvm反编译并作二进制工程后的分析结果 如果有人提取到了攻击类型相同的样本麻烦发一下谢谢喵
这玩意是我原本在翻qemu便携版的时候找的鬼玩意喵
攻击目标: Windows
沙盒测试机: Windows 11 25H2 Pro Workstation KMS Activate
攻击路径推演:
qemuinstaller.msi内嵌恶意载荷
释放qemupak.zip(我原本想提取这个)&aakkqsw.exe&criteria.dll
启动aakkqsw.exe 此exe拥有EV签名 似乎是某个杀毒软件的exe 然后它会加载断言查询器 此时criteria.dll发挥作用 利用其EV信任开始横向移动 释放多个随机名称jpg 使用shmemfd-map等方式打开 提取有效位最后一个字节作为XOR-KEY 然后解密后面的内容 后面的内容是一段混淆的亲妈都不认识的TCL脚本 这个图片是rickroll我帮你们看了喵 然后通过COM特殊反射和schwtask创建任务 潜伏开始
顺带一提 这玩意巨tm神人 所有逻辑都是TCL写的 但是它自带的TCL解释器里面有一些内存读写啥的扩展 因此能正常实现喵 当然有部分逻辑还是C++喵 用的是MSVC编译喵
约30min后 schwtask启动 rpc-call了service.exe并启动SYSTEM权限svhost.exe 马上pause并注入恶意代码 修改执行指针 resume svhost开始执行恶意代码 利用SYSTEM执行操作并创建一个傀儡dwm.exe 同样手法注入 但是dwm此时会主动提权到TrustedInstaller 然后释放Ring0.sys并加载 利用它执行msr瞎改VMX寄存器破坏360的vtd保护 同时将AMSI函数全部改成retn 禁用回调并破坏大量杀软的驱动内存 随后ZwProcessKill干爆tray等 加载ELAM(root