0x01 樣本概況
Name:主機郵件安全檢查工具
ico使用的是360的圖標
在Virustotal網站上,樣本報毒1引擎,基本上繞過了全部國產殺毒,免殺效果較好
0x02 樣本分析
對該樣本進行反編譯處理,
根據程序中各地址字符串信息可以推斷
該樣本使用了較為小眾的語言nim作為shellcode loader
因為該樣本使用的是nim語言,導致反編譯出現有較大困難
獲取到了部分遠程加載地址
http://47.105.76.103:8023/log.txt
http://47.105.76.103:8081/cm
http://47.105.76.103:8081/lbJD
根據字符串信息+動態調試結果推斷該惡意樣本執行流程如下
下載http://47.105.76.103:8023/log.txt
數據解密后注入到cleanmgr.exe進程中
然后VitualAlloc放入內存加載
根據Yara規則識別為Cobbaltstrike HTTPS x64載荷
0x03 樣本loader來源
經過一番Github搜索,發現該GIT項目生成的C2樣本與本樣本在執行方法和邏輯上高度一致
https://github.com/aeverj/NimShellCodeLoader
推測紅隊使用了本項目進行C2程序生成
0x04 樣本下載鏈接
鏈接:https://pan.baidu.com/s/1uqsba-YPlBAIv5wuR_vXWQ
提取碼:m78s