历史记录

    清空历史记录
    • 相关的动态
    • 相关的文章
    • 相关的用户
    • 相关的圈子
    • 相关的话题
    注册 登录
    GuLoader恶意软件最新攻击链样本详细分析
    熊猫正正 历史精选 226浏览 · 2025-02-11 15:50

    前言概述
    笔者最近逛malware-traffic-analysis网站,发现DBatLoader/GuLoader恶意软件最新攻击链样本,比较有意思,如下所示:
    图片1.png
    从该网站下载样本之后,对该最新攻击链样本进行了详细分析,分享出来供大家参考学习。


    样本分析
    1.初始样本是一个包含CVE-2017-0199漏洞的XLS文件,解析OLE里面的流数据,包含一个URL链接,如下所示:
    图片2.png
    2.由于漏洞,会自动连接下载URL,URL跳转到另外一个URL链接,并下载对应的HTA恶意脚本文件,如下所示:
    图片3.png
    3.下载的HTA恶意脚本,如下所示:
    图片4.png
    4.恶意脚本执行之后,会调用PowerShell执行恶意脚本,恶意脚本的内容,如下所示:
    图片5.png
    5.解密PowerShell脚本里面的加密数据,解密之后,该恶意脚本会从远程服务器下载另外一个VBS恶意脚本,如下所示:
    图片6.png
    6.下载的VBS脚本,如下所示:
    图片7.png
    7.解密里面的加密数据代码,解密之后,如下所示:
    图片8.png
    8.解密之后的PowerShell脚本,会从远程服务器下载一个JPG图片,然后解密里面的加密数据,并加载执行,如下所示:
    图片9.png
    9.JPG图片中包含的加密数据,如下所示:
    图片10.png
    10.解密该数据之后是一个PayLoad,如下所示:
    图片11.png
    11.该PayLoad是一个NET程序,样本编译时间为2024年12月13日,如下所示:
    图片12.png
    12.通过分析为一个TaskSchedular程序,如下所示:
    图片13.png
    开源代码地址:https://github.com/dahall/taskscheduler
    13.从远程服务器上下载相关的恶意代码,并加载执行,如下所示:
    图片14.png
    14.通过VIA函数加载下载回来的恶意代码,如下所示:
    图片15.png
    15.解密远程下载的恶意代码,为一个PayLoad程序,如下所示:
    图片16.png
    16.解密出来的PayLoad对受害者主机进行屏幕记录,如下所示:
    图片17.png
    17.屏幕截取记录过程,如下所示:
    图片18.png
    18.获取主机相关信息,如下所示:
    图片19.png
    19.进行键盘记录操作,如下所示:
    图片20.png
    20.关闭进程,如下所示:
    图片21.png
    21.上传受害者信息,到远程FTP服务器,如下所示:
    图片22.png
    22.上传到远程FTP服务器过程,如下所示:
    图片23.png
    23.远程FTP服务器地址ftp://ftp.horeca-bucuresti.ro,FTP远程服务器的用户名和密码,如下所示:
    图片24.png
    24.盗取Thunderbird数据库信息,如下所示:
    图片25.png
    25.盗取UCBrowser浏览器的登录用户信息,如下所示:
    图片26.png


    威胁情报
    图片27.png


    总结结尾
    黑客组织利用各种恶意软件进行的各种攻击活动已经无处不在,防不胜防,很多系统可能已经被感染了各种恶意软件,全球各地每天都在发生各种恶意软件攻击活动,黑客组织一直在持续更新自己的攻击样本以及攻击技术,不断有企业被攻击,这些黑客组织从来没有停止过攻击活动,非常活跃,新的恶意软件层出不穷,旧的恶意软件又不断更新,需要时刻警惕,可能一不小心就被安装了某个恶意软件。




    0 人收藏 0 人喜欢 转载 分享
    0 条评论
    某人
    表情
    可输入 255
      发布投稿
    热门文章
    优秀作者
    目录
    先知社区
    本站/app由 Djingoii 提供技术和产品支持