概述
白加黑利用,”雅砻江流域水电开发有限公司无人机应用服务供应商池采购项目招标公告_xcod.exe
“是office的白程序,并带有数字签名,原始名为WinWord.exe,。该白exe运行后会自动加载木马文件wwlib.dll。
wwlib.dll释放资源段的加密shellcode,注入shellcode到系统文件rundll32.exe、explorer.exe、白文件WinWord.exe中执行。Shellcode连接jsss.aliyunsdn.com下载执行文件。
初步判定该文件为远控木马。
wwlib.dll SHA1: E0353689EB41CF17EB7BF12242B6C94E3CDBEBF5
逆向
资源为pe文件
资源为shellcode
资源解密:shellcode
注入操作
注入:创建远程线程
被注入程序的映射内存:shellcode
Shellcode:加载网络库wininet
连接C&C服务器
向jsss.aliyunsdn. com请求文件/cdn/status_push
发送请求
下载文件
接收数据
注入explorer进程与WINWORD进程
注入执行的pe文件导入表被加密
修复后如上所示,该文件为一个反射注入执行的RAT
修复IAT
抓包发现C2信息:
C&C服务器
关联
关联到C2服务器
关联到红队
若有收获,就点个赞吧
0 人点赞
