时间:2024-12-11 16:49 / 来源:未知

  可有效解决无文件攻击、系统进程保护、流氓软件等诸多安全问题igtcn通用近期,火绒安闲尝试室正在平日劫持巡视中挖掘一 GitHub 货仓颁发的项目存正在病毒危害举动,火绒安闲工程师第有时间提取样本举办剖判。剖判中挖掘样本会通过众种权术匹敌杀软,并最终开释 Remcos 贸易远控木马支配受害者呆板,且病毒作家仍正在主动开拓当中。目前,火绒安闲产物可对上述病毒举办拦截查杀,请宏壮用户实时更新病毒库以普及防御才智。

  考核到的病毒样本出处于一个名为 CodeBlock 的 GitHub 货仓颁发的项目,没有任何相闭的项目描摹,但已有不少受害者中招。考查剖判经过中挖掘该秩序诈欺众层文献举办跳转,诈欺层层解密举办免杀,除此除外还诈欺包罗 “天邦之门” 正在内的众种权术匹敌剖判。通过最终开释远控木马,攻击者可能推行各样长途操作,从而应用户呆板沦为”肉鸡” 。

  正在此,火绒工程师指点行家对出处不明的文献应依旧警觉,同时安置牢靠的安闲软件掩护开发免受恶意软件和病毒的侵凌。目前,火绒 6.0 已上线公测,针对用户的可靠操纵情况,升级反病毒引擎等焦点本领,推出9大硬核成效,可有用处置无文献攻击、编制经过掩护、泼皮软件等诸众安闲题目,为“杀、防、管、控”巩固壁垒。迎接行家前去火绒官方网站下载体验。

  relay.dll 的 DllMain 函数会加载同目次下的 nighttime.xlsx 文献并举办解密,先是定位到固定的 D6C0 处所处,获取文献数据区的正向偏移后开首解密 D6C0 处的实质,解密格式是从第 4 位偏移开首,以 DWORD 为单元向前递加,完全细节如下所示:

  解密后的实质中,前面是须要移用的字符串,relay.dll 会分歧定位解密数据前面的 3 个字符串 LoadLibraryA、VirtualProtect、dbghelp.dll,获取其函数地方并举办移用,然后加载 dbghelp.dll 进内存空间绸缪推行后续注入操作:

  解密后的字节码有许众都是用于标识处所的“偏移值”,正在加载 dbghelp.dll 后,会先获取用于定位注入 dbghelp.dll 处所的偏移写入解密代码,再遵循“划分数据段的”的偏移局限注入巨细,以此“分段”推行——即推行代码位于 dbghelp.dll 中,但闭系数据仍然存正在于解密空间中:

  Dump 出解密代码举办剖判,其先动态获取所需函数,推行闭系初始化操作:

  同样的读取解密代码前面的字符串数据一连推行下 一步注入,这里定位解密代码入口点并更换到加载的 pla.dll 的入口点处:

  正在创修 cmd 经过后,为了藏匿 API 的移用陈迹,并作对安闲推敲职员剖判,还十分移用了天邦之门来 “掩瞒” 其内存注入的操作:

  写入文献移用的函数 NtWriteFile 仍然是通过天邦之门举办移用的:

  64 位指令如下,因为混同的理由,移用参数所对应的 [rbp-xxh] 的处所稍微有点偏移:

  除了 rcx、rdx、r8、r9 外的参数是通过 rdi 和参数数目连系的偏移 [rdi+rax*8-8] 来定位的,如下图所示,写入的解密代码为一个 exe 文献,用于推行后续注入:

  Remcos 是一个成熟的远控后门,目前已更新到 4.9.4,是一个贸易化的木马,与 cobalt strike 近似,能统统支配受害者呆板:


外汇交易无重复报价,并按实时报价执行交易

通过FXCG MT4交易平台随时随地进入全球市场。