formbook 恶意软件浅析

最新推荐文章于 2025-01-23 13:45:59 发布
最新推荐文章于 2025-01-23 13:45:59 发布
阅读量845 收藏 20
点赞数 9
CC 4.0 BY-SA版权
文章标签: 恶意软件浅析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Libao657/article/details/144817189

样本
IOC
MD5:749dfc8bf52422ce77ed59a60c2f395e
SHA1:d0593187a473a19564a67819050023c9144b30c2
SHA256: 5c205cffc83f7be274773fb1c3aa356b29d97e4d62a83e79c5fd52eadc3ed695

概述
语言:C#
文件类型:32位EXE

FormBook 是一种信息窃取恶意软件,于 2016 年首次被发现。它会从受感染的系统中窃取各种类型的数据,包括缓存在 Web 浏览器中的凭据、屏幕截图和按键。它还能够充当下载器,从而下载并执行其他恶意文件。它采用恶意软件即服务 (MaaS) 模式运行,网络犯罪分子可以以相对较低的价格购买恶意软件的访问权限。

初始阶段
第一阶段可以用dnSpy分析,它是一个dotnet文件。

入口点:

在这里插入图片描述
在最初阶段,可以看到反编译结果有很多垃圾代码:在这里插入图片描述
注意到这里:
在这里插入图片描述
Quartz
Versa
Zinc
这三个是恶意资源,它们在运行时被组合和加载,以便进一步执行。

往下可以发现一处代码,它在运行时解析该程序集并创建资源实例,然后使用 System.Activator 类加载第一个方法。
在这里插入图片描述
动态分析在这里插入图片描述
在模块窗口中可以看到已加载的运行时二进制文件,如上图所示。

运行时生成的二进制文件名为 pendulum。代码中显示,恶意软件通过调用 GetExportedTypes 方法,获取并执行导出类型中的第一个成员。在这里插入图片描述
从第一个加载的 DLL(Pendulum)资源开始,进一步解析出了更多的二进制文件。在模块选项卡中,可以跟踪新添加的 DLL 并逐步分析它们的行为。

最低0.47元/天 解锁文章

200万优质内容无限畅学
formbook样本注入姿势赏析
yellow的博客
05-27 432
formbook样本注入姿势赏析。
[系统安全] 四十九.恶意软件分析 (5)Cape沙箱分析结果Report报告的API序列批量提取详解
杨秀璋的专栏
04-11 3554
系统安全将更好地帮助初学者了解病毒逆向分析和系统安全。前文详细介绍Cape沙箱批量分析,通过调用Python脚本文件submit.py来实施批量处理。这篇文章将讲解如何将Cape沙箱分析结果Report报告的API序列批量提取,主要是提取Json文件的内容并存储至指定位置。基础性文章,希望对您有帮助,如果存在错误或不足之处,还请海涵。且看且珍惜!
谨防Formbook病毒利用邮件入侵窃密!
互联网安全研究院
06-21 380
近日,研究人员截获的攻击样本中发现,FormBook窃密病毒试图对我国重点行业,外贸等相关企业人员进行钓鱼攻击活动。截止目前,已有上百个国内外企业或个人受到此次攻击影响,其中不乏一些国内大型物流公司。 安全研究机构FireEye:攻击者是通过使用各种含有不同附件的电子邮件来传播的FormBookFormBook自2016以来在黑客论坛出售,因其隐蔽且易用的特点闻名。其主要利用钓鱼邮件进行传播,一旦用户不小心下载打开邮件附件,该恶意软件将会安装到终端上窃取机密数据和敏感信息。 Formbook窃密软
FormBook样本利用CVE-2017-11882漏洞传播
yellow的博客
06-13 252
事件来源:
vbs结束进程代码_借助ProcessHollowing和代码注入感染合法进程:信息窃取恶意软件FormBook分析...
weixin_39665787的博客
11-30 371
概述FormBook是一个信息窃取类型的恶意软件。与大多数其他信息窃取类恶意软件一样,它在部署到受害者的计算机上时,会执行许多操作来逃避反病毒厂商产品的检测。当然,正如我们在Ursnif、Hancitor、Dridex和其他木马中看到的那样,有许多变种可以通过多种方式接收Payload。在过去的一年中,威胁行为者最常用的分发FormBook恶意软件的方法是借助恶意钓鱼邮件并利用CVE-...
窃密木马Formbook危害巨大,360安全大脑极智守护御敌于国门之外
weixin_42880419的博客
06-03 528
近日,360高级威胁研究分析中心,检测到一批疑似针对外贸等相关企业人员的钓鱼攻击活动。经分析,始作俑者是一种叫Formbook的窃密木马,自 2016 年初以来就开始在各种黑客论坛上开始出现销售。通过伪装成一艘名为UNIVERSE PROSPERITY的散货邮轮的信息邮件,该病毒于近期大肆进行邮件钓鱼传播。截止目前,已有上百个国内外企业或个人受到此次攻击影响,其中不乏一些国内大型物流公司。 通过分析相关日志后发现,钓鱼邮件中所携带的恶意压缩包名称大多为:MV UNIVERSE PROSPERITY.arj
2024年十大高危恶意软件及其防御策略概览
网络安全
11-18 789
Emotet最初是一个银行木马,现已演变为多功能的恶意软件平台,因其高效的“敏捷开发”能力在业界闻名,主要通过带有恶意附件的钓鱼邮件传播。面对日益复杂的恶意软件威胁,企业应采取情报驱动的主动防御策略,包括定期更新系统和软件、加强网络钓鱼防御、实施多因素身份验证并投资行为分析工具,以检测和阻止潜在的攻击。针对Windows平台的木马,将目标系统的系统信息发送到远程服务器,从服务器接收命令来下载并执行插件、终止进程、卸载/更新自身以及捕获受感染系统的屏幕截图。
加壳formbook病毒分析中间文件
02-08
在网络安全领域,加壳技术常被恶意软件开发者用于隐藏其真实代码,使病毒更难以被检测和分析。Formbook是一种著名的远程访问木马(RAT),它被广泛用于非法活动,如数据盗窃和个人信息窃取。这篇博客文章《加壳...
FormBook信息窃取木马通过OneNote文档传播
阿道夫的博客
02-02 295
攻击者长期以来一直使用 Office 文档来传播恶意软件,也没有放弃尝试新的攻击方式。近期,研究人员发现 Formbook 攻击者开始使用 OneNote文档文件。Formbook 是信息窃取木马,2016 年开始在地下论坛出售,2018年启动恶意软件即服务。该恶意软件可以从各种浏览器和应用程序窃取数据,还有按键记录与屏幕截图功能。2022 年 12 月 6 日,研究人员注意到垃圾邮件检测系统检出了 .one 扩展名的 OnoNote 附件文件。通过电子邮件发送 .one。
攻击技术研判|“重门深锁”FormBook Crypter 执行隐匿技术精析
xnxqwzy的博客
08-19 297
1. 商业化的 crypter 的存在体现了现代恶意软件的模块化特征,往往包含较多的隐匿规避技术。2. NSIS 安全程序生成引擎本身可编程的灵活性使其具有被滥用执行恶意代码的潜力。3. 直接系统调用的攻击方式在恶意样本中逐渐多见,动态解析 Windows 系统调用 ID 已经成为当前的主流做法,Hook等传统检测方案已缺乏检测能力。4. 利用“Heaven’s Gate”方法可在 Wow64 子系统中进行 x86 与 x64。
如何优雅的获取formbook样本C2
yellow的博客
09-26 495
优雅的获取formbook样本的C2地址
流行窃密木马盘点
wangluoanquan111的博客
07-31 751
窃密木马是用于窃取用户系统中敏感数据的恶意执行体。攻击者常通过网络钓鱼、漏洞利用、软件捆绑等方式投放窃密木马,并利用窃取到的重要数据进行牟利。当用户系统感染窃密木马后,根据攻击者的预先设定,窃密木马会在受感染系统中实施隐藏、驻留、探测、搜集、传输、监听等行为,从而将敏感数据按照攻击者的需求进行传输,最终给用户造成收入损失、声誉损害等严重后果。目前,窃密木马攻击者已构建了完整的窃密产业链,包含开发、分析对抗、销售、攻击等多个环节,形成了明确的内部分工体系和获利模式。
2024年最危险的十大恶意软件,从零基础到精通,收藏这篇就够了!
leah126的博客
01-23 1405
Emotet最初是一个银行木马,现已演变为多功能的恶意软件平台,因其高效的“敏捷开发”能力在业界闻名,主要通过带有恶意附件的钓鱼邮件传播。面对日益复杂的恶意软件威胁,企业应采取情报驱动的主动防御策略,包括定期更新系统和软件、加强网络钓鱼防御、实施多因素身份验证并投资行为分析工具,以检测和阻止潜在的攻击。针对Windows平台的木马,将目标系统的系统信息发送到远程服务器,从服务器接收命令来下载并执行插件、终止进程、卸载/更新自身以及捕获受感染系统的屏幕截图。大白也帮大家准备了详细的学习成长路线图。
权威发布! 开发人员需要关注的11种顶级恶意软件
分享 GPU 管理与大模型推理相关技术实践
08-11 491
美国网络安全和基础设施安全局(CISA)和澳大利亚网络安全中心(ACSC)进行了一项关于恶意软件的联合网络安全咨询调查,在报告中详细介绍了2021年最常见的11种恶意软件,包括远程访问木马、银行木马、信息窃取程序和勒索软件。恶意软件开发人员受益于利润丰厚的网络运营和负面后果风险低,因此在几年内持续支持、改进和分发他们的恶意软件。......
造纸机变频分布传动与Modbus RTU通讯技术的应用及其实现
07-26
造纸机变频分布传动与Modbus RTU通讯技术的应用及其优势。首先,文中解释了变频分布传动系统的组成和功能,包括采用PLC(如S7-200SMART)、变频器(如英威腾、汇川、ABB)和触摸屏(如昆仑通泰)。其次,重点阐述了Modbus RTU通讯协议的作用,它不仅提高了系统的可靠性和抗干扰能力,还能实现对造纸机各个生产环节的精确监控和调节。最后,强调了该技术在提高造纸机运行效率、稳定性和产品质量方面的显著效果,适用于多种类型的造纸机,如圆网造纸机、长网多缸造纸机和叠网多缸造纸机。 适合人群:从事造纸机械制造、自动化控制领域的工程师和技术人员。 使用场景及目标:① 提升造纸机的自动化水平;② 实现对造纸机的精确控制,确保纸张质量和生产效率;③ 改善工业现场的数据传输和监控功能。 其他说明:文中提到的具体品牌和技术细节有助于实际操作和维护,同时也展示了该技术在不同纸厂的成功应用案例。
langchain4j-neo4j-0.29.1.jar中文文档.zip
07-26
1、压缩文件中包含: 中文文档、jar包下载地址、Maven依赖、Gradle依赖、源代码下载地址。 2、使用方法: 解压最外层zip,再解压其中的zip包,双击 【index.html】 文件,即可用浏览器打开、进行查看。 3、特殊说明: (1)本文档为人性化翻译,精心制作,请放心使用; (2)只翻译了该翻译的内容,如:注释、说明、描述、用法讲解 等; (3)不该翻译的内容保持原样,如:类名、方法名、包名、类型、关键字、代码 等。 4、温馨提示: (1)为了防止解压后路径太长导致浏览器无法打开,推荐在解压时选择“解压到当前文件夹”(放心,自带文件夹,文件不会散落一地); (2)有时,一套Java组件会有多个jar,所以在下载前,请仔细阅读本篇描述,以确保这就是你需要的文件。 5、本文件关键字: jar中文文档.zip,java,jar包,Maven,第三方jar包,组件,开源组件,第三方组件,Gradle,中文API文档,手册,开发手册,使用手册,参考手册。
基于STC89C52单片机的智能衣架电路设计:服装店顾客行为数据分析与传输
最新发布
07-26
内容概要:本文介绍了一种基于STC89C52单片机的智能衣架电路设计方案,旨在通过采集和分析顾客在服装店挑选和试穿衣物时的行为数据,帮助商家更好地了解顾客的购物习惯和偏好。该系统利用ADXL345三轴加速度传感器和HX711称重传感器分别检测衣架的角度变化和重量变化,记录服装被挑选和试穿的次数,并通过LCD1602显示屏实时显示这些数据。此外,蓝牙模块将数据传输到手机,方便店员和顾客查看。文中还简述了系统的硬件连接和软件代码设计。 适合人群:电子工程技术人员、嵌入式系统开发者、从事零售数据分析的专业人士。 使用场景及目标:适用于服装零售行业,帮助商家优化库存管理、提升顾客购物体验以及进行精准营销。通过对顾客行为数据的实时采集和分析,商家可以制定更有针对性的销售策略。 其他说明:本文不仅提供了详细的硬件原理图,还涉及了单片机编程的相关知识,有助于读者全面掌握智能衣架的设计与实现方法。
模糊故障树分析 可靠性工程
07-26
内容概要:本文探讨了利用模糊故障树(FTA)和最小割集进行工业控制系统可靠性分析的方法。针对传统FTA依赖于精确概率的问题,文中提出采用三角模糊数表示不确定性和不完全信息,通过α截集法处理或门关系,以及用面积法计算单元重要度。具体案例展示了如何构建简单电机过热故障树,并对电源波动、冷却故障和控制芯片误判三个基本事件进行了模糊概率建模。实验结果显示顶层事件的故障概率范围较大,强调了考虑模糊数分布特征的重要性。此外,还讨论了与门条件下模糊处理的复杂性,并提供了可视化工具帮助识别潜在的风险因素。 适合人群:从事工业自动化、设备维护管理的专业人士,尤其是那些希望深入了解模糊理论应用于系统安全性和可靠性领域的工程师和技术研究人员。 使用场景及目标:适用于需要评估复杂系统可靠性的场合,如电力、化工等行业。主要目的是为工程师们提供一种新的视角和手段,以便更好地理解和预测系统可能出现的问题,从而制定更加合理的预防措施和应急预案。 其他说明:文中附有详细的Python代码片段用于解释各个步骤的具体实现方式,同时也列出了几篇重要的参考文献供进一步学习之用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值