APT-C-56(透明部落)利用外贸链接伪装文档攻击分析

  1. 伪装成src文件的pe文件
  2. 判断执行两种方式
  3. 第二种方式加载样本
  4. 持久化

伪装成src文件的pe文件

判断执行两种方式

判断特征码 从而决定返回0还是1 此时第一次运行 返回的是0

第二种方式加载样本

为0了之后不进入循环,此时运行第二个函数

生成了firfor.exe和firef0x.exe

持久化

https://www.ctfiot.com/89082.html


转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。可以在下面评论区评论,也可以邮件至 jaytp@qq.com

×

喜欢就点赞,疼爱就打赏