样本分析

再阅读了本文的上篇之后,让我们继续来分析KSL0T。
最近,我注意到一个上传至VirusBay(https://beta.virusbay.io/) 的恶意软件样本,它带有Turla和Venomous Bear(Turla的别名)的标签,于是决定对该样本进行分析。
2019年4月24号,360Netlab未知威胁检测系统发现一个可疑的ELF文件,目前有一部分杀软误识别为挖矿程序。通过详细分析,我们确定这是一款Lua-based Backdoor,因为这个样本加载的Lua字节码文件幻数为“God”,所以我们将它命名为Godlua Backdoor。
在今年1月22日McAfee官方博客发布文章称在发现了一个私有的点对点(p2p)网络中被发现一个新的勒索软件系列,并根据留下的勒索信息命名为Anatova,具体更多详情可以查看原文,故此对Anatova勒索病毒进行一番分析。
2019年2月22日, 360威胁情报中心截获了首个利用WinRAR漏洞(CVE-2018-20250)传播木马程序的恶意ACE文件。并提醒用户务必对此高危漏洞做好十足的防护措施。
近期,360安全大脑监测发现了一款通过搜索引擎广告位进行大量传播的游戏盗号木马,该木马针对“集结号”棋牌游戏的用户群体进行盗号,对用户的“虚拟财产”可能造成难以估计的损失。
Lucky是一种超强传播能力的恶意代码软件家族。本文只分析其中的加密勒索模块部分,主要实现其加密后文件的解密,至于其他攻击模块,可参考文章后边提供的其他文章
病毒分析很心酸,真的会秃头。唉。不说了。头发真的都掉完了~~~
此次病毒多次使用隐藏技术,反复转移文件,以及使用Hook技术对抗分析。但是美中不足的是,释放样本的时候没有加密资源,直接获得了payload。
这是一个恶意软件在用户眼皮底下进行攻击的案例。虽然Kutaki窃密软件使用的反沙箱和反调试技术略显落后,但不要小看它。它对未硬件化虚拟机及其他一些分析工具具有很好的对抗性。可以绕过很多常规的检测手段。