详细内容或原文请订阅后点击阅览
当恶意软件反击时:在 Kiss Loader 分析过程中与威胁参与者实时交互
与恶意软件作者交谈的情况很少见,大多数分析师都听说过,但自己很少经历过。识别恶意软件活动背后的个人通常是威胁研究中最困难的方面之一。在这种情况下,一开始的例行调查很快就变成了与代码背后的人的直接和意外的接触。
来源:G DATA _恶意软件我与威胁行为者的遭遇
由于 WebDAV 上托管的资源仍然有效且可访问,因此我在受控分析环境中执行了快捷方式文件,以模拟其预期行为并观察整体执行流程。使用批处理脚本中指定的参数,我继续解密嵌入的 shellcode。当尝试转储解密的有效负载时,立即感觉有些不对劲。命令提示符突然终止,然后我打开的分析工具突然关闭:Notepad++、Process Explorer 和 System Informer。
然后光标开始自行移动。我尝试重新打开命令提示符,但每次尝试都立即被关闭。那一刻,我停了下来,将手从键盘上拿开,甚至举起双手来确认我没有在与系统交互。光标继续移动,清楚地表明该行为不是用户发起的。这种认识既值得注意又出乎意料。由于这是我第一次遇到“Kiss Loader”,因此我迫切希望了解更多信息,并验证观察到的活动是否仅仅是偶然的或故意远程访问的结果。
为了测试这一点,我在同一受控环境中重新执行了该示例,并打开了一个记事本窗口,其中包含一条简单的消息:“您好!您是该恶意软件的作者吗?”
我让系统运行。
大约一个小时后,出现响应,如图 7 所示。