魔盾安全分析报告
| 分析类型 | 开始时间 | 结束时间 | 持续时间 | 分析引擎版本 |
|---|---|---|---|---|
| FILE | 2022-08-19 14:21:14 | 2022-08-19 14:23:25 | 131 秒 | 1.4-Maldun |
| 虚拟机机器名 | 标签 | 虚拟机管理 | 开机时间 | 关机时间 |
|---|---|---|---|---|
| win7-sp1-x64-shaapp02-1 | win7-sp1-x64-shaapp02-1 | KVM | 2022-08-19 14:21:15 | 2022-08-19 14:23:26 |
| 魔盾分数 |
|---|
8.4恶意的 |
文件详细信息
| 文件名 | afk_manager.vmp.exe |
|---|---|
| 文件大小 | 8334336 字节 |
| 文件类型 | PE32+ executable (console) x86-64 (stripped to external PDB), for MS Windows |
| CRC32 | F301D144 |
| MD5 | 78af26a86ec45d3e0462d73d5b571e51 |
| SHA1 | bb970dec652715ac1d9df1555e9e35a59e8872f6 |
| SHA256 | e441ed273d67f09dcc22139b2c2dfe3a49b7bd90151b30490e6b65d47fd4bd5b |
| SHA512 | 186448e8d9c5f4d0730248275d521aa71caacdff5675cf1087f2c2b64fc42e5cf0b7d22a348793cf3a6d0a2ae457d0caab99341145759decf7dbe576081e3c12 |
| Ssdeep | 98304:gKA8r4APpTns1Kn8E8vclKGXIh6+ppdgOJGyKWSevuFGjFodMUnvN63XDiL:OvaTs1KZ8UlKG4Hdg6GK1XhUvN |
| PEiD | 无匹配 |
| Yara |
|
| VirusTotal | VirusTotal查询失败 |
特征
魔盾安全Yara检测结果 - 普通
二进制文件可能包含加密或压缩数据
section: name: .yss2, entropy: 7.95, characteristics: IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_NOT_PAGED|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ, raw_size: 0x007f0a00, virtual_size: 0x007f09d4
开始系统监听0.0.0.0:8080
检测到样本尝试模糊或欺骗文件类型
运行截图
网络分析
TCP连接
| IP地址 | 端口 |
|---|---|
| 23.202.50.185 | 80 |
UDP连接
| IP地址 | 端口 |
|---|---|
| 192.168.122.1 | 53 |
HTTP请求
| URL | HTTP数据 |
|---|---|
| http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip | GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1 Accept: */* If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT User-Agent: IPM Host: acroipm.adobe.com Connection: Keep-Alive Cache-Control: no-cache |
静态分析
PE 信息
| 初始地址 | 0x140000000 |
|---|---|
| 入口地址 | 0x140eeb4ad |
| 声明校验值 | 0x007fbb5c |
| 实际校验值 | 0x007fbb5c |
| 最低操作系统版本要求 | 5.2 |
| 编译时间 | 2022-08-18 17:19:24 |
| 载入哈希 | f9e4dcb7e54b601e6b58d4a726a23337 |
PE数据组成
| 名称 | 虚拟地址 | 虚拟大小 | 原始数据大小 | 特征 | 熵(Entropy) |
|---|---|---|---|---|---|
| .text | 0x00001000 | 0x0030ce20 | 0x00000000 | IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ | 0.00 |
| .data | 0x0030e000 | 0x000054f0 | 0x00000000 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE | 0.00 |
| .rdata | 0x00314000 | 0x0019df50 | 0x00000000 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ | 0.00 |
| .eh_fram | 0x004b2000 | 0x00000004 | 0x00000000 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE | 0.00 |
| .pdata | 0x004b3000 | 0x0001b720 | 0x00000000 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ | 0.00 |
| .xdata | 0x004cf000 | 0x00030ae8 | 0x00000000 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ | 0.00 |
| .bss | 0x00500000 | 0x000016c0 | 0x00000000 | IMAGE_SCN_CNT_UNINITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE | 0.00 |
| .idata | 0x00502000 | 0x0000213c | 0x00000000 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE | 0.00 |
| .CRT | 0x00505000 | 0x00000068 | 0x00000000 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE | 0.00 |
| .tls | 0x00506000 | 0x00000010 | 0x00000000 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE | 0.00 |
| .yss0 | 0x00507000 | 0x003862ff | 0x00000000 | IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ | 0.00 |
| .yss1 | 0x0088e000 | 0x00000e08 | 0x00001000 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE | 0.16 |
| .yss2 | 0x0088f000 | 0x007f09d4 | 0x007f0a00 | IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_NOT_PAGED|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ | 7.95 |
| .reloc | 0x01080000 | 0x000000cc | 0x00000200 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_DISCARDABLE|IMAGE_SCN_MEM_READ | 2.04 |
导入
库 KERNEL32.dll:
• 0x14088e000 - GetVersion
库 ADVAPI32.dll:
• 0x14088e010 - CryptAcquireContextW
库 bcrypt.dll:
• 0x14088e020 - BCryptGenRandom
库 KERNEL32.dll:
• 0x14088e030 - InitializeCriticalSection
库 msvcrt.dll:
• 0x14088e040 - ___lc_codepage_func
库 ntdll.dll:
• 0x14088e050 - NtCancelIoFileEx
库 USER32.dll:
• 0x14088e060 - GetProcessWindowStation
库 WS2_32.dll:
• 0x14088e070 - WSACleanup
库 KERNEL32.dll:
• 0x14088e080 - GetVersion
库 USER32.dll:
• 0x14088e090 - CharUpperBuffW
库 KERNEL32.dll:
• 0x14088e0a0 - LocalAlloc
• 0x14088e0a8 - LocalFree
• 0x14088e0b0 - GetModuleFileNameW
• 0x14088e0b8 - ExitProcess
• 0x14088e0c0 - LoadLibraryA
• 0x14088e0c8 - GetModuleHandleA
• 0x14088e0d0 - GetProcAddress
投放文件
行为分析
互斥量(Mutexes)
无信息
执行的命令
无信息
创建的服务
无信息
启动的服务
无信息
进程
afk_manager.vmp.exe PID: 2528, 上一级进程 PID: 2192
访问的文件
- \Device\KsecDD
- \Device\Afd\Mio
读取的文件
- \Device\KsecDD
修改的文件
无信息
删除的文件
无信息
注册表键
无信息
读取的注册表键
无信息
修改的注册表键
无信息
删除的注册表键
无信息
API解析
- bcryptprimitives.dll.GetRngInterface
- ntdll.dll.NtCreateKeyedEvent
- ntdll.dll.NtWaitForKeyedEvent
- ntdll.dll.NtReleaseKeyedEvent