formbook 恶意软件浅析

最新推荐文章于 2025-01-23 13:45:59 发布
原创 最新推荐文章于 2025-01-23 13:45:59 发布 · 915 阅读 · 20 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#恶意软件浅析

样本
IOC
MD5:749dfc8bf52422ce77ed59a60c2f395e
SHA1:d0593187a473a19564a67819050023c9144b30c2
SHA256: 5c205cffc83f7be274773fb1c3aa356b29d97e4d62a83e79c5fd52eadc3ed695

概述
语言:C#
文件类型:32位EXE

FormBook 是一种信息窃取恶意软件,于 2016 年首次被发现。它会从受感染的系统中窃取各种类型的数据,包括缓存在 Web 浏览器中的凭据、屏幕截图和按键。它还能够充当下载器,从而下载并执行其他恶意文件。它采用恶意软件即服务 (MaaS) 模式运行,网络犯罪分子可以以相对较低的价格购买恶意软件的访问权限。

初始阶段
第一阶段可以用dnSpy分析,它是一个dotnet文件。

入口点:

在这里插入图片描述
在最初阶段,可以看到反编译结果有很多垃圾代码:在这里插入图片描述
注意到这里:
在这里插入图片描述
Quartz
Versa
Zinc
这三个是恶意资源,它们在运行时被组合和加载,以便进一步执行。

往下可以发现一处代码,它在运行时解析该程序集并创建资源实例,然后使用 System.Activator 类加载第一个方法。
在这里插入图片描述
动态分析在这里插入图片描述
在模块窗口中可以看到已加载的运行时二进制文件,如上图所示。

运行时生成的二进制文件名为 pendulum。代码中显示,恶意软件通过调用 GetExportedTypes 方法,获取并执行导出类型中的第一个成员。在这里插入图片描述
从第一个加载的 DLL(Pendulum)资源开始,进一步解析出了更多的二进制文件。在模块选项卡中,可以跟踪新添加的 DLL 并逐步分析它们的行为。

最低0.47元/天 解锁文章
如何优雅的获取formbook样本C2
yellow的博客
09-26 638
优雅的获取formbook样本的C2地址
[系统安全] 四十九.恶意软件分析 (5)Cape沙箱分析结果Report报告的API序列批量提取详解
杨秀璋的专栏
04-11 3778
系统安全将更好地帮助初学者了解病毒逆向分析和系统安全。前文详细介绍Cape沙箱批量分析,通过调用Python脚本文件submit.py来实施批量处理。这篇文章将讲解如何将Cape沙箱分析结果Report报告的API序列批量提取,主要是提取Json文件的内容并存储至指定位置。基础性文章,希望对您有帮助,如果存在错误或不足之处,还请海涵。且看且珍惜!
攻击技术研判|“重门深锁”FormBook Crypter 执行隐匿技术精析
xnxqwzy的博客
08-19 356
1. 商业化的 crypter 的存在体现了现代恶意软件的模块化特征,往往包含较多的隐匿规避技术。2. NSIS 安全程序生成引擎本身可编程的灵活性使其具有被滥用执行恶意代码的潜力。3. 直接系统调用的攻击方式在恶意样本中逐渐多见,动态解析 Windows 系统调用 ID 已经成为当前的主流做法,Hook等传统检测方案已缺乏检测能力。4. 利用“Heaven’s Gate”方法可在 Wow64 子系统中进行 x86 与 x64。
流行窃密木马盘点
wangluoanquan111的博客
07-31 892
窃密木马是用于窃取用户系统中敏感数据的恶意执行体。攻击者常通过网络钓鱼、漏洞利用、软件捆绑等方式投放窃密木马,并利用窃取到的重要数据进行牟利。当用户系统感染窃密木马后,根据攻击者的预先设定,窃密木马会在受感染系统中实施隐藏、驻留、探测、搜集、传输、监听等行为,从而将敏感数据按照攻击者的需求进行传输,最终给用户造成收入损失、声誉损害等严重后果。目前,窃密木马攻击者已构建了完整的窃密产业链,包含开发、分析对抗、销售、攻击等多个环节,形成了明确的内部分工体系和获利模式。
谨防Formbook病毒利用邮件入侵窃密!
互联网安全研究院
06-21 399
近日,研究人员截获的攻击样本中发现,FormBook窃密病毒试图对我国重点行业,外贸等相关企业人员进行钓鱼攻击活动。截止目前,已有上百个国内外企业或个人受到此次攻击影响,其中不乏一些国内大型物流公司。 安全研究机构FireEye:攻击者是通过使用各种含有不同附件的电子邮件来传播的FormBookFormBook自2016以来在黑客论坛出售,因其隐蔽且易用的特点闻名。其主要利用钓鱼邮件进行传播,一旦用户不小心下载打开邮件附件,该恶意软件将会安装到终端上窃取机密数据和敏感信息。 Formbook窃密软
FormBook样本利用CVE-2017-11882漏洞传播
yellow的博客
06-13 369
事件来源:
2024年十大高危恶意软件及其防御策略概览
网络安全
11-18 912
Emotet最初是一个银行木马,现已演变为多功能的恶意软件平台,因其高效的“敏捷开发”能力在业界闻名,主要通过带有恶意附件的钓鱼邮件传播。面对日益复杂的恶意软件威胁,企业应采取情报驱动的主动防御策略,包括定期更新系统和软件、加强网络钓鱼防御、实施多因素身份验证并投资行为分析工具,以检测和阻止潜在的攻击。针对Windows平台的木马,将目标系统的系统信息发送到远程服务器,从服务器接收命令来下载并执行插件、终止进程、卸载/更新自身以及捕获受感染系统的屏幕截图。
加壳formbook病毒分析中间文件
02-08
在网络安全领域,加壳技术常被恶意软件开发者用于隐藏其真实代码,使病毒更难以被检测和分析。Formbook是一种著名的远程访问木马(RAT),它被广泛用于非法活动,如数据盗窃和个人信息窃取。这篇博客文章《加壳...
formbook样本注入姿势赏析
yellow的博客
05-27 534
formbook样本注入姿势赏析。
vbs结束进程代码_借助ProcessHollowing和代码注入感染合法进程:信息窃取恶意软件FormBook分析...
weixin_39665787的博客
11-30 393
概述FormBook是一个信息窃取类型的恶意软件。与大多数其他信息窃取类恶意软件一样,它在部署到受害者的计算机上时,会执行许多操作来逃避反病毒厂商产品的检测。当然,正如我们在Ursnif、Hancitor、Dridex和其他木马中看到的那样,有许多变种可以通过多种方式接收Payload。在过去的一年中,威胁行为者最常用的分发FormBook恶意软件的方法是借助恶意钓鱼邮件并利用CVE-...
窃密木马Formbook危害巨大,360安全大脑极智守护御敌于国门之外
weixin_42880419的博客
06-03 553
近日,360高级威胁研究分析中心,检测到一批疑似针对外贸等相关企业人员的钓鱼攻击活动。经分析,始作俑者是一种叫Formbook的窃密木马,自 2016 年初以来就开始在各种黑客论坛上开始出现销售。通过伪装成一艘名为UNIVERSE PROSPERITY的散货邮轮的信息邮件,该病毒于近期大肆进行邮件钓鱼传播。截止目前,已有上百个国内外企业或个人受到此次攻击影响,其中不乏一些国内大型物流公司。 通过分析相关日志后发现,钓鱼邮件中所携带的恶意压缩包名称大多为:MV UNIVERSE PROSPERITY.arj
FormBook信息窃取木马通过OneNote文档传播
阿道夫的博客
02-02 312
攻击者长期以来一直使用 Office 文档来传播恶意软件,也没有放弃尝试新的攻击方式。近期,研究人员发现 Formbook 攻击者开始使用 OneNote文档文件。Formbook 是信息窃取木马,2016 年开始在地下论坛出售,2018年启动恶意软件即服务。该恶意软件可以从各种浏览器和应用程序窃取数据,还有按键记录与屏幕截图功能。2022 年 12 月 6 日,研究人员注意到垃圾邮件检测系统检出了 .one 扩展名的 OnoNote 附件文件。通过电子邮件发送 .one。
2024年最危险的十大恶意软件,从零基础到精通,收藏这篇就够了!
leah126的博客
01-23 2652
Emotet最初是一个银行木马,现已演变为多功能的恶意软件平台,因其高效的“敏捷开发”能力在业界闻名,主要通过带有恶意附件的钓鱼邮件传播。面对日益复杂的恶意软件威胁,企业应采取情报驱动的主动防御策略,包括定期更新系统和软件、加强网络钓鱼防御、实施多因素身份验证并投资行为分析工具,以检测和阻止潜在的攻击。针对Windows平台的木马,将目标系统的系统信息发送到远程服务器,从服务器接收命令来下载并执行插件、终止进程、卸载/更新自身以及捕获受感染系统的屏幕截图。大白也帮大家准备了详细的学习成长路线图。
权威发布! 开发人员需要关注的11种顶级恶意软件
分享 GPU 管理与大模型推理相关技术实践
08-11 594
美国网络安全和基础设施安全局(CISA)和澳大利亚网络安全中心(ACSC)进行了一项关于恶意软件的联合网络安全咨询调查,在报告中详细介绍了2021年最常见的11种恶意软件,包括远程访问木马、银行木马、信息窃取程序和勒索软件。恶意软件开发人员受益于利润丰厚的网络运营和负面后果风险低,因此在几年内持续支持、改进和分发他们的恶意软件。......
医疗设备维修手册:CX30和CX50超声系统服务与维护
12-07
CX30和CX50维修手册
基于Electron框架构建的跨平台桌面端人事管理系统_集成员工信息管理部门架构设置考勤记录追踪薪资核算模块绩效评估体系招聘流程管理培训计划安排合同档案存储权限分级.zip
12-07
基于Electron框架构建的跨平台桌面端人事管理系统_集成员工信息管理部门架构设置考勤记录追踪薪资核算模块绩效评估体系招聘流程管理培训计划安排合同档案存储权限分级.zip
Andorid项目源码控件以及双指放大缩小图片,单指拖动图片
12-07
Andorid项目源码控件以及双指放大缩小图片、单指拖动图片
基于Matlab的语音信号分析与处理系统实现
最新发布
12-07
本资源包含的课程设计项目源码经过全面测试,所有模块均能稳定运行且功能完整。项目在最终评审中获得了94.5分的平均成绩,具备较高的完成度与可靠性,可供学习者直接参考使用。 项目代码已通过系统化验证,确保各项功能符合预期,下载后即可正常部署与执行。本资源主要面向计算机及相关专业领域(如计算机科学、人工智能、通信工程、自动化、电子信息等)的在校师生、行业从业人员以及自学人士,适用于课程实践、毕业设计、作业提交或项目原型开发等多种学习场景。 若使用者具备一定的编程基础,也可基于现有代码进行功能扩展或结构调整,以适应个性化需求,例如用于毕业设计、课程作业或项目初期功能验证等用途。请在下载后优先查阅附带的说明文档(如有),以了解项目结构与环境配置要求。本资源仅限于学习交流目的,严禁用于任何商业用途。 资源来源于网络分享,仅用于学习交流使用,请勿用于商业,如有侵权请联系我删除!
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值