记某红队钓鱼样本浅分析
字数 1356 2025-08-24 20:49:31

红队钓鱼样本分析技术文档

1. 样本概述

本技术文档基于某红队钓鱼样本的分析结果,详细剖析了该样本的运行机制、技术特点及防御方法。

1.1 样本基本信息

  • 文件MD5: b079e5af2d9e0c85d64e9e213ea4b369
  • 运行现象: 点击"确定"后EXE文件消失,无明显界面变化
  • 技术特点: 白加黑攻击、DLL劫持、进程注入、自删除

2. 运行时行为分析

2.1 文件释放行为

样本运行后会释放以下文件到C:\Users\Public\Download\目录:

  1. melt.exe - 带有360数字签名的合法程序
  2. libmlt-6.dll - 被劫持的DLL文件
  3. xweb_liveplayer.bin - 载荷文件
  4. eyunbrowser.exe - 带有360数字签名的合法程序
  5. eyunbrowserCHS.dll - 被劫持的DLL文件

2.2 进程监控发现

  • melt.exe进程会持续运行
  • 进程间存在hook行为
  • 启动过程中调用了libmit-6.dll及其他系统底层类

3. 技术原理深度分析

3.1 白加黑技术实现

  1. 白文件: 利用360签名的合法程序(melt.exeeyunbrowser.exe)
  2. 黑文件: 通过DLL劫持(libmlt-6.dlleyunbrowserCHS.dll)实现恶意行为

3.2 执行流程

  1. 主程序阶段 (sub_140001880):

    • 调用near指令进入主程序逻辑
    • 执行自我删除和自杀指令

  2. 子程序阶段:

    • 使用FindResourceA定位Kernel32.dll资源
    • 通过LoadResource加载资源
    • 使用LockResource锁定动态库
    • 释放并执行melt.exe xweb_liveplayer.bin 123456命令

3.3 进程注入技术

  1. 创建新进程(melt.exe)
  2. 向目标进程线程写入特定内存内容
  3. 执行远程线程注入
  4. 调用ntdll.dll创建winhttp API发起外联请求
  5. 创建包含"justfun"字符串数组的新线程

4. 防御与检测方案

4.1 检测方法

  1. 行为检测:

    • 监控C:\Users\Public\Download\目录下的可疑文件释放
    • 检测合法进程(如360签名程序)加载异常DLL的行为
    • 监控进程自删除行为

  2. 特征检测:

    • 文件MD5: b079e5af2d9e0c85d64e9e213ea4b369
    • 特定字符串"justfun"的内存出现

4.2 防御措施

  1. 应用白名单: 限制非授权程序执行
  2. DLL签名验证: 验证加载DLL的数字签名
  3. 进程行为监控: 监控合法程序的异常行为
  4. 网络流量分析: 检测异常的winhttp外联请求

5. 分析工具推荐

  1. 火绒剑: 进程行为监控
  2. Process Monitor: 详细进程操作记录
  3. IDA Pro: 静态反编译分析
  4. x64dbg: 动态调试分析

6. 技术总结

该钓鱼样本采用了高级的白加黑技术,利用合法签名程序作为载体,通过DLL劫持实现恶意行为,并具备自删除、进程注入等高级规避技术。防御此类攻击需要结合行为监控、签名验证和网络流量分析等多维度防护手段。

红队钓鱼样本分析技术文档 1. 样本概述 本技术文档基于某红队钓鱼样本的分析结果,详细剖析了该样本的运行机制、技术特点及防御方法。 1.1 样本基本信息 文件MD5 : b079e5af2d9e0c85d64e9e213ea4b369 运行现象 : 点击"确定"后EXE文件消失,无明显界面变化 技术特点 : 白加黑攻击、DLL劫持、进程注入、自删除 2. 运行时行为分析 2.1 文件释放行为 样本运行后会释放以下文件到 C:\Users\Public\Download\ 目录: melt.exe - 带有360数字签名的合法程序 libmlt-6.dll - 被劫持的DLL文件 xweb_liveplayer.bin - 载荷文件 eyunbrowser.exe - 带有360数字签名的合法程序 eyunbrowserCHS.dll - 被劫持的DLL文件 2.2 进程监控发现 melt.exe 进程会持续运行 进程间存在hook行为 启动过程中调用了 libmit-6.dll 及其他系统底层类 3. 技术原理深度分析 3.1 白加黑技术实现 白文件 : 利用360签名的合法程序( melt.exe 和 eyunbrowser.exe ) 黑文件 : 通过DLL劫持( libmlt-6.dll 和 eyunbrowserCHS.dll )实现恶意行为 3.2 执行流程 主程序阶段 ( sub_140001880 ): 调用near指令进入主程序逻辑 执行自我删除和自杀指令 子程序阶段 : 使用 FindResourceA 定位 Kernel32.dll 资源 通过 LoadResource 加载资源 使用 LockResource 锁定动态库 释放并执行 melt.exe xweb_liveplayer.bin 123456 命令 3.3 进程注入技术 创建新进程( melt.exe ) 向目标进程线程写入特定内存内容 执行远程线程注入 调用 ntdll.dll 创建 winhttp API发起外联请求 创建包含"justfun"字符串数组的新线程 4. 防御与检测方案 4.1 检测方法 行为检测 : 监控 C:\Users\Public\Download\ 目录下的可疑文件释放 检测合法进程(如360签名程序)加载异常DLL的行为 监控进程自删除行为 特征检测 : 文件MD5: b079e5af2d9e0c85d64e9e213ea4b369 特定字符串"justfun"的内存出现 4.2 防御措施 应用白名单 : 限制非授权程序执行 DLL签名验证 : 验证加载DLL的数字签名 进程行为监控 : 监控合法程序的异常行为 网络流量分析 : 检测异常的winhttp外联请求 5. 分析工具推荐 火绒剑 : 进程行为监控 Process Monitor : 详细进程操作记录 IDA Pro : 静态反编译分析 x64dbg : 动态调试分析 6. 技术总结 该钓鱼样本采用了高级的白加黑技术,利用合法签名程序作为载体,通过DLL劫持实现恶意行为,并具备自删除、进程注入等高级规避技术。防御此类攻击需要结合行为监控、签名验证和网络流量分析等多维度防护手段。