前言
该样本运行后会遍历所有进程获取进程文件路径,以此来保证自身进程拥有足够权限执行后续行为。随后创建svchost傀儡进程,注入的代码通过解密自身资源节中编号为104的资源数据得到。解密后的数据为CobaltStrike载荷。
逆向分析及功能描述
1. 样本分析
个人简历.exe为CobaltStrike加载器模块,其文件图标伪装为docx文档图标。
样本运行后会尝试遍历进程并获取进程的映像文件路径,以此保证自身进程拥有高权限。若权限不足则会由于无法获取映像文件路径而不执行后续功能。
若成功获取进程映像文件路径则表示权限充足,则休眠5秒后读取自身资源中编号为104的资源数据。
解密密钥字符串。
使用解密后的密钥解密104号资源数据。
解密后的数据为CobaltStrike载荷
随后创建“C:\Windows\System32\svchost.exe”的傀儡进程,并通过插入APC的方式加载上文解密的CobaltStrike载荷。加载完成后,加载器进程将进入永久死循环
解密的载荷包含两个导出函数,分别为默认的DllMain与ReflectiveLoader。
其中DllMain代码为CobaltStrike实际功能载荷,而ReflectiveLoader用于修复自身进程导入表、重定位等信息以完成内存加载。
CobaltStrike载荷成功加载后会持续与“114.115.141.15:4431”进行通信以完成远控数据交互。
网络通信数据使用TLS V1进行加密。
转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。可以在下面评论区评论,也可以邮件至 jaytp@qq.com
