formbook 恶意软件浅析

样本
IOC
MD5:749dfc8bf52422ce77ed59a60c2f395e
SHA1:d0593187a473a19564a67819050023c9144b30c2
SHA256: 5c205cffc83f7be274773fb1c3aa356b29d97e4d62a83e79c5fd52eadc3ed695

概述
语言:C#
文件类型:32位EXE

FormBook 是一种信息窃取恶意软件,于 2016 年首次被发现。它会从受感染的系统中窃取各种类型的数据,包括缓存在 Web 浏览器中的凭据、屏幕截图和按键。它还能够充当下载器,从而下载并执行其他恶意文件。它采用恶意软件即服务 (MaaS) 模式运行,网络犯罪分子可以以相对较低的价格购买恶意软件的访问权限。

初始阶段
第一阶段可以用dnSpy分析,它是一个dotnet文件。

入口点:

在这里插入图片描述
在最初阶段,可以看到反编译结果有很多垃圾代码:在这里插入图片描述
注意到这里:
在这里插入图片描述
Quartz
Versa
Zinc
这三个是恶意资源,它们在运行时被组合和加载,以便进一步执行。

往下可以发现一处代码,它在运行时解析该程序集并创建资源实例,然后使用 System.Activator 类加载第一个方法。
在这里插入图片描述
动态分析在这里插入图片描述
在模块窗口中可以看到已加载的运行时二进制文件,如上图所示。

运行时生成的二进制文件名为 pendulum。代码中显示,恶意软件通过调用 GetExportedTypes 方法,获取并执行导出类型中的第一个成员。在这里插入图片描述
从第一个加载的 DLL(Pendulum)资源开始,进一步解析出了更多的二进制文件。在模块选项卡中,可以跟踪新添加的 DLL 并逐步分析它们的行为。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值