avatar

目录
MMcORE针对东南亚的APT攻击

MMCore针对东南亚的APT攻击

基本信息

File Name File Size File Type MD5
76,800 Byte bbe4ae55f828e020c32e215f4d152cc3

查壳

无壳

详细分析

在运行后,动态行为中未发现任何异常,可能有对抗检测的操作

拉进IDA,来到MAIN函数

对抗检测

先取得一次当前激活窗口名,每隔1000ms检测一次当前活动的窗口,然后比较两次是否一样,如果一样则进入死循环,一直查找窗口

然后利用memset函数,将一片内存置0,然后在置0的一块内存中得出一个DLL名,snxhk.dll

是杀毒软件Avast的一个模块

解密字符串

使用memset置0内存,再解密出一个url dailysync.zapto.org

解密出一个jpg路径,/fancycumti/combidation/scale.jpg

将前面得出的URL和jpg路径转换为宽字符

然后进入一个死循环,生成一个随机数,再利用生成的随机数Sleep

请求资源

加载wininet.dll,wininet.dll是windows应用程序中的网络相关模块

利用Getprocaddress,获取大量函数地址

对dailysync.zapto.org/fancycumti/combidation/scale.jpg发起http请求

加载资源

从远程服务器中请求一个jpg资源,然后读取jpg的数据

修改申请内存的页属性,然后创建新线程,执行读取到的内容

dailysync.zapto.org/fancycumti/combidation/scale.jpg已经挂了,目前为止还没找到可下载的样本,后面的暂时分析不了

文章作者: Yenn_
文章链接: https://0xdf1001f.github.io/2020/04/22/MMcORE%E9%92%88%E5%AF%B9%E4%B8%9C%E5%8D%97%E4%BA%9A%E7%9A%84APT%E6%94%BB%E5%87%BB/
版权声明: 本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 Wei's Blog

评论