详细内容或原文请订阅后点击阅览

分析木马化的 jQuery 脚本:GootLoader 被释放

2022年7月20日 08:00 33 Comments
X Twitter Instagram Mail

更新 202 年 10 月 24 日:自 3 个月前发布此报告以来,我们注意到有 2 处变化。该代码已被改编为使用注册表项“HKEY_CURRENT_USER\SOFTWARE\Microsoft\Personalization”而不是“HKEY_CURRENT_USER\SOFTWARE\Microsoft\Phone”(样本 SHA256 ed2f654b5c5e8c05c27457876f3855e51d89c5f946c8aefecca7f110a6276a6e)当有效载荷为 Cobalt Strike 时,信标配置现在包含 C2 的主机名,如 r1dark[.]ssndob[.]cn[.]com 和 r2dark[.]ssndob[.]cn[.]com(我们之前的所有 CS 样本……继续阅读对木马化的 jQuery 脚本的分析:GootLoader 被释放 →

来源:NVISO Labs _恶意软件

202 年 10 月 24 日更新:

202 年 10 月 24 日更新:

自 3 个月前发布此报告以来,我们注意到有 2 处变化。

自 3 个月前发布此报告以来,我们注意到有 2 处变化。
    代码已调整为使用注册表项“HKEY_CURRENT_USER\SOFTWARE\Microsoft\Personalization”而不是“HKEY_CURRENT_USER\SOFTWARE\Microsoft\Phone”(样本 SHA256 ed2f654b5c5e8c05c27457876f3855e51d89c5f946c8aefecca7f110a6276a6e)当有效载荷为 Cobalt Strike 时,信标配置现在包含 C2 的主机名,如 r1dark[.]ssndob[.]cn[.]com 和 r2dark[.]ssndob[.]cn[.]com(我们分析的所有先前的 CS 样本都使用 IPv4 地址)。
  • 代码已调整为使用注册表项“HKEY_CURRENT_USER\SOFTWARE\Microsoft\Personalization”而不是“HKEY_CURRENT_USER\SOFTWARE\Microsoft\Phone”(样本 SHA256 ed2f654b5c5e8c05c27457876f3855e51d89c5f946c8aefecca7f110a6276a6e)
    • 代码已调整为使用注册表项“HKEY_CURRENT_USER\SOFTWARE\Microsoft\Personalization”而不是“HKEY_CURRENT_USER\SOFTWARE\Microsoft\Phone”(样本 SHA256 ed2f654b5c5e8c05c27457876f3855e51d89c5f946c8aefecca7f110a6276a6e)
  • 当有效载荷为 Cobalt Strike 时,信标配置现在包含 C2 的主机名,如 r1dark[.]ssndob[.]cn[.]com 和 r2dark[.]ssndob[.]cn[.]com(我们分析的所有先前的 CS 样本都使用 IPv4 地址)。
    • 当有效载荷为 Cobalt Strike 时,信标配置现在包含 C2 的主机名,如 r1dark[.]ssndob[.]cn[.]com 和 r2dark[.]ssndob[.]cn[.]com(我们分析的所有先前的 CS 样本都使用 IPv4 地址)。

    在这篇博文中,我们将对 GootLoader 进行深入分析,该恶意软件已知会传递多种类型的有效载荷,例如 Kronos 木马、REvil、IcedID、GootKit 有效载荷以及本例中的 Cobalt Strike。

    我们用于分析此 GootLoader 脚本的 TLDR 技术:

    第 1 阶段
      对于混淆数据中的每个字符,评估它是处于偶数位置还是奇数位置(索引从 0 开始)
      如果不均匀,则将其放在累加器字符串的前面
    第 2 阶段
      取 2 位数字
      加 30
  • 加 30
    • com 位置 例如 多种类型 USER 使用 奇数 调整 代码 SOFTWARE Microsoft 数据 有效载荷 ssndob 偶数 CURRENT HKEY 样本 cn