网站 › 『病毒分析区』 › 远程监控软件的行为分析

ghostsang 发表于 2020-3-26 16:58

远程监控软件的行为分析

本帖最后由 ghostsang 于 2020-3-26 17:21 编辑

样本帖子:https://www.52pojie.cn/thread-1125431-1-1.html
分析的为飞机闪退,全国那个东西就是个远控安装. 安装的名称都叫被控端


飞机内文件:

微聊启动:释放的隐藏的dll
潮信界面:
文件执行6月数据行为

执行的命令:C:\Users\ADMINI~1\AppData\Roaming\whstdk\whstwk.exe" -setmac'
"C:\Users\ADMINI~1\AppData\Roaming\whstdk\whstwk.exe" -iniconvert "comnctt.xdt" "expiorer.xdt"'
"C:\Windows\System32\netsh.exe" advfirewall firewall delete rule name="whstwk"''
"C:\Windows\System32\netsh.exe" advfirewall firewall add rule name=whstwk dir=in action=allow program="C:\Users\Administrator\AppData\Roaming\whstdk\whstwk.exe" profile=any'
"C:\Users\ADMINI~1\AppData\Roaming\whstdk\wqnms.exe" -i qafty "Network Access Driver" "用于与系统网络驱动交换管理信息。如果此服务被禁用，任何依赖它的服务将无法启动。"'
"C:\Users\ADMINI~1\AppData\Roaming\whstdk\spool\wqprs.exe" -i tayrw "Security Driver Service" "用于硬件驱动间交换管理信息。如果此服务被禁用，任何依赖它的服务将无法启动。"'
写入自启动:

启动的消息钩子:

键盘监听:


端口监听.

将操作记录写入自身的文件夹下:


操作记录的内容:

当直接启动飞机闪退后.当前面的操作执行完.
LogonUI直接关键电脑

一个简单的分析初投稿,请大佬多多指教

third1979 发表于 2020-3-27 12:32

sadffg 发表于 2020-3-26 17:28
我看到了，这个文章很可靠。以前玩灰鸽子，现在不知道怎么样了

现在还有当时做的鸽子免杀DAT，不过早就没用了，不知道现在用啥远控，感觉那时候的PCSHARE上线挺快的，就是不稳定

w2010d 发表于 2020-3-27 13:39

third1979 发表于 2020-3-27 12:32
现在还有当时做的鸽子免杀DAT，不过早就没用了，不知道现在用啥远控，感觉那时候的PCSHARE上线挺快的，就 ...

现在用cobaltstrike

ghostsang 发表于 2020-3-26 17:05

{:1_909:} {:1_909:}这个截图上传变的巨小...还有上传失败了..尴尬

sadffg 发表于 2020-3-26 17:28

我看到了，这个文章很可靠。以前玩灰鸽子，现在不知道怎么样了

那年夏天52 发表于 2020-3-26 17:40

这个6666666

递推划归 发表于 2020-3-26 18:02

求问这是干啥的

bbcisbest 发表于 2020-3-26 19:30

更新国外版本？{:1_921:}

青苏之恋 发表于 2020-3-26 20:10

虽然看不懂但还是支持一下

wangzihang 发表于 2020-3-26 20:21

求问这是干啥的

Strugglion 发表于 2020-3-26 20:51

不明觉厉，支持一下

随缘命运 发表于 2020-3-26 22:41

不错，学习了

查看完整版本: 远程监控软件的行为分析