| |
|
开发:
C++知识库
Java知识库
JavaScript
Python
PHP知识库
人工智能
区块链
大数据
移动开发
嵌入式
开发工具
数据结构与算法
开发测试
游戏开发
网络协议
系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程 数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁 |
-> Python知识库 -> 记一次粗浅的钓鱼样本分析过程 -> 正文阅读 |
|
[Python知识库]记一次粗浅的钓鱼样本分析过程 |
原创稿件征集 0x00 前言一切的一切要从 0x01 投石问路因为样本是基友直接发给我的,所以样本的发现过程这里按下不表,直奔主题吧。 拿到样本,一个朴实无华的 exe 可执行文件,再看这 exe 的图标更是已经烂大街的了: 于是本着没吃过猪肉也见过猪跑的道理,想起平时摸鱼时也看过不少大佬们做过的免杀和样本分析的文章,先草率地做出了一个最简单的猜想:很可能又是一个使用 rar 自解压制作的钓鱼样本。 于是就草率地先尝试使用 bandzip 打开,发现格式不对: 显然,这样草率的猜想果然是不靠谱的,遂转换思路。 于是又想到,正所谓他山之石可以攻玉,况且自己之前在这方面也几乎零基础,那不妨先扔在线的分析网站跑一波吧,就算只搞到个大概的报告也可以供参考。于是将样本拖进 VT,立等片刻后,得到结果: 只是瞧瞧这多引擎的检测结果,居然还有点小意外?!于是这个情况顿时让我对这个样本又多了几分好奇:看来有机会还是要搞清楚这个样本是怎么制作的呀。再说作为一条有理想的咸鱼,一直这样依赖工具也不是办法,有机会还是要锻炼下自己的动手能力。于是决定为基友献出自己的”第一次“,尝试手动分析下这个样本,顺便看看它这个查杀率是怎么做到的。 0x02 循序渐进说是手动分析,但一来自己经验不足,二来身边也没有随时可抱大腿的大佬来解疑答惑,那眼前 VT 的分析结果还是要参考下的,起码起到风向标的作用。 VT 分析结果的前面几项都没有什么特别有价值的信息。直至切换到分析结果中的 BEHAVIOR 选项卡,发现样本执行过程释放和加载了一个名为 看到这,作为一名常年网上冲浪、已经将喊666刻进DNA里的资深菜鸡,我的 于是现学现卖,从搜索引擎得知:
有了以上前置知识后,那么依葫芦画瓢——下载脚本并执行: 幸运的是,过程十分顺利,在当前目录下生成了解压文件夹: 然后,根据资料,在解压目录中找到可疑的 按照剧本,这里的 根据报错信息不难发现,报错与一个 于是继续求助搜索引擎。得到解释如下:
0x03 原来是虚晃一枪老实说,看完上面收集回来的信息,我当时的表情就是这样的: 显然,事情到这一步已经超出了一个我这个菜鸡的预期了。 所以说,要半途而废嘛,也不是没想过。。。可气氛都渲染到这里了,不继续下去好像也不太说得过去的样子。。。 于是,本着准备手动修复
这。。这。。。这是咋回事呢?跟说好的剧本不一样啊。。这样难道不会影响打包的 exe 文件的运行的吗?难道这就是这个样本被查杀率不高的原因? 于是本着知其所以然的心态,本人又围绕这这个问题,尝试找了不少资料。但可惜水平有限,最终也是没找到相应的解释,对此还希望有知道的师傅能指教一二。。。 不过言归正传,既然拿到了 python 的源码,那一切就好办了。。 直接将 简单看了下源码,发现执行的过程如下:
(PS:可能是我愚钝,总之一番概览下来,好像除了从远程加载 shellcode 而不是硬编码到代码中去之外,也没啥特别的。。。?所以至此 VT 的这个 6/64? ?的?查杀率?似乎?也?成了?我?的?一个?未解之谜?。?。😂 😂 😂 ) 同时既然已经知道 shellcode 的远程下载地址,那么可直接尝试获取 shellcode 到本地进行分析。编写了个简单的脚本: 执行后顺利得到 shellcode.bin 文件: 最后简单使用 strings 即可得到 teamserver 的地址: 不过可惜的是,上了CDN: 明显,这种情况,以本人的水平也暂时谈不上什么反制了。最后将自己的分析过程打包给基友后就洗洗睡第二天继续吃瓜去了。。。 0xFF 总结本文主要记录了本人在对一钓鱼样本进行分析溯源学习时的踩坑经过。整个过程可简单概况为以下几部分:
最后本人技术粗浅,文章措辞轻浮,肯定有许多错漏之处,还望各位大佬大力斧正的同时轻喷。。。 实操推荐:<常见社工手段分析> 实验主要讲解用kali发动社工攻击的方法,包括使用Setoolkit来制作钓鱼网站、用Swaks来发送钓鱼邮件、用msfvenom来制作木马。 赶快来靶场免费体验吧! |
|
|
上一篇文章 下一篇文章 查看所有文章 |
|
开发:
C++知识库
Java知识库
JavaScript
Python
PHP知识库
人工智能
区块链
大数据
移动开发
嵌入式
开发工具
数据结构与算法
开发测试
游戏开发
网络协议
系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程 数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁 |
360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 | -2024/12/26 11:07:26- |
|
网站联系: qq:121756557 email:121756557@qq.com IT数码 |
数据统计 |