详细内容或原文请订阅后点击阅览
新型 PhantomLoader 恶意软件分发 SSLoad:技术分析
编者注:本文由网络安全研究员和恶意软件分析师 Mohamed Talaat 撰写。您可以在 X 和 LinkedIn 上找到 Mohamed。在此恶意软件分析报告中,我们深入研究了攻击者如何使用名为 PhantomLoader 的未记录加载器来分发基于 rust 的恶意软件 SSLoad。概述 PhantomLoader 通常 […]新 PhantomLoader 恶意软件分发 SSLoad:技术分析文章首次出现在 ANY.RUN 的网络安全博客上。
来源:ANY.RUN _恶意软件分析新的幻影载体恶意软件分发SSLOAD:技术分析
编辑注:当前文章由网络安全研究人员和恶意软件分析师Mohamed Talaat撰写。您可以在X和LinkedIn上找到Mohamed。
x LinkedIn在此恶意软件分析报告中,我们深入探讨了如何使用攻击者使用称为Phantomloader的无证加载程序来分发一种基于锈的恶意软件,称为SSLOANS。
ssload概述
Phantomloader通常将其作为合法的32位DLL,用C/C ++编写,用于一种称为360 Security Total的防病毒软件。
但是,在这种情况下,发现自己伪装成“ patchup.exe”,它仍然是360总安全的合法模块。该装载机已在最近的攻击中使用,以提供一种新的基于Rust的恶意软件,称为SSLOAD。
使Phantomloader与众不同的原因是,通过二进制修补DLL或可执行文件并添加自修改技术,它被添加为合法DLL或可执行软件的可执行文件的一部分。后者解密了一个嵌入式代码存根,然后将“ SSLOAD”加载到内存中。
技术分析
技术 分析分析了任何run的沙箱中的SSLOAD样品后,我们观察到该恶意软件的一种发行方法涉及包含恶意办公室文档的电子邮件。这些文档启动了感染链。
any.run的沙盒分析会话显示了幻影加载程序的下降和执行方式,之后它解密并运行SSLOAD。
查看分析会话
恶意Word文档的执行
执行恶意文字文档后,很明显,“ winword.exe”启动了一个新的“ app.com”,表明已经执行了嵌入式恶意宏。这导致了可疑过程的创建。