魔盾安全分析报告
| 分析类型 | 开始时间 | 结束时间 | 持续时间 | 分析引擎版本 |
|---|---|---|---|---|
| FILE | 2024-04-18 09:55:20 | 2024-04-18 09:57:33 | 133 秒 | 1.4-Maldun |
| 虚拟机机器名 | 标签 | 虚拟机管理 | 开机时间 | 关机时间 |
|---|---|---|---|---|
| win7-sp1-x64-shaapp02-1 | win7-sp1-x64-shaapp02-1 | KVM | 2024-04-18 09:55:21 | 2024-04-18 09:57:35 |
| 魔盾分数 |
|---|
2.275可疑的 |
文件详细信息
| 文件名 | beacon.exe |
|---|---|
| 文件大小 | 288256 字节 |
| 文件类型 | PE32+ executable (GUI) x86-64 (stripped to external PDB), for MS Windows |
| CRC32 | A83E6715 |
| MD5 | 5ebdb139232779fb6cc09e51a3175634 |
| SHA1 | 28e5b4123141c8a39d4ab212126ca4c5e07418b8 |
| SHA256 | 62c2b534684383200254b3979a2bd87ed87cee831dd4e81096a0efa4819c42ac |
| SHA512 | c469cd23b761b8878a552877702bebd80020a9520574f6146377db1860bd355d331a09f3594908444a28cc648d6f3dea87b280502fa395c66bf2ea210fd6bd6b |
| Ssdeep | 6144:cCBPy4fJdCijMQLOUpzj+Ldun/Dw53na:FLfDC4L4du+n |
| PEiD | 无匹配 |
| Yara |
|
| VirusTotal | VirusTotal查询失败 |
特征
通过进程尝试延迟分析任务
Process: beacon.exe tried to sleep 105 seconds, actually delayed analysis time by 0 seconds
二进制文件可能包含加密或压缩数据
section: name: .data, entropy: 7.18, characteristics: IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE|IMAGE_SCN_ALIGN_16BYTES, raw_size: 0x00042600, virtual_size: 0x00042490
专有的Yara规则检测结果 - 安全告警
Critical: Spotted potential malicious behaviors from a small size target, like process manipultion, privilege, token and files
Informational: MinGW_1
运行截图
网络分析
TCP连接
| IP地址 | 端口 |
|---|---|
| 23.206.229.110 | 80 |
UDP连接
| IP地址 | 端口 |
|---|---|
| 192.168.122.1 | 53 |
HTTP请求
| URL | HTTP数据 |
|---|---|
| http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip | GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1 Accept: */* If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT User-Agent: IPM Host: acroipm.adobe.com Connection: Keep-Alive Cache-Control: no-cache |
静态分析
PE 信息
| 初始地址 | 0x00400000 |
|---|---|
| 入口地址 | 0x004014b0 |
| 声明校验值 | 0x0004bcf3 |
| 实际校验值 | 0x0004bcf3 |
| 最低操作系统版本要求 | 4.0 |
| 编译时间 | 2020-06-09 08:17:28 |
| 载入哈希 | 17b461a082950fc6332228572138b80c |
PE数据组成
| 名称 | 虚拟地址 | 虚拟大小 | 原始数据大小 | 特征 | 熵(Entropy) |
|---|---|---|---|---|---|
| .text | 0x00001000 | 0x000020f0 | 0x00002200 | IMAGE_SCN_CNT_CODE|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_ALIGN_16BYTES | 6.03 |
| .data | 0x00004000 | 0x00042490 | 0x00042600 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE|IMAGE_SCN_ALIGN_16BYTES | 7.18 |
| .rdata | 0x00047000 | 0x000002d0 | 0x00000400 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_ALIGN_16BYTES | 4.00 |
| .pdata | 0x00048000 | 0x0000027c | 0x00000400 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_ALIGN_4BYTES | 2.97 |
| .xdata | 0x00049000 | 0x00000238 | 0x00000400 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_ALIGN_4BYTES | 2.65 |
| .bss | 0x0004a000 | 0x00000a30 | 0x00000000 | IMAGE_SCN_CNT_UNINITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE|IMAGE_SCN_ALIGN_32BYTES | 0.00 |
| .idata | 0x0004b000 | 0x00000958 | 0x00000a00 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE|IMAGE_SCN_ALIGN_4BYTES | 4.14 |
| .CRT | 0x0004c000 | 0x00000068 | 0x00000200 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE|IMAGE_SCN_ALIGN_8BYTES | 0.26 |
| .tls | 0x0004d000 | 0x00000048 | 0x00000200 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE|IMAGE_SCN_ALIGN_32BYTES | 0.22 |
导入
库 KERNEL32.dll:
• 0x44b244 - CloseHandle
• 0x44b24c - ConnectNamedPipe
• 0x44b254 - CreateFileA
• 0x44b25c - CreateNamedPipeA
• 0x44b264 - CreateThread
• 0x44b26c - DeleteCriticalSection
• 0x44b274 - EnterCriticalSection
• 0x44b27c - GetCurrentProcess
• 0x44b284 - GetCurrentProcessId
• 0x44b28c - GetCurrentThreadId
• 0x44b294 - GetLastError
• 0x44b29c - GetModuleHandleA
• 0x44b2a4 - GetProcAddress
• 0x44b2ac - GetStartupInfoA
• 0x44b2b4 - GetSystemTimeAsFileTime
• 0x44b2bc - GetTickCount
• 0x44b2c4 - InitializeCriticalSection
• 0x44b2cc - LeaveCriticalSection
• 0x44b2d4 - LoadLibraryW
• 0x44b2dc - QueryPerformanceCounter
• 0x44b2e4 - ReadFile
• 0x44b2ec - RtlAddFunctionTable
• 0x44b2f4 - RtlCaptureContext
• 0x44b2fc - RtlLookupFunctionEntry
• 0x44b304 - RtlVirtualUnwind
• 0x44b30c - SetUnhandledExceptionFilter
• 0x44b314 - Sleep
• 0x44b31c - TerminateProcess
• 0x44b324 - TlsGetValue
• 0x44b32c - UnhandledExceptionFilter
• 0x44b334 - VirtualAlloc
• 0x44b33c - VirtualProtect
• 0x44b344 - VirtualQuery
• 0x44b34c - WriteFile
库 msvcrt.dll:
• 0x44b35c - __C_specific_handler
• 0x44b364 - __dllonexit
• 0x44b36c - __getmainargs
• 0x44b374 - __initenv
• 0x44b37c - __iob_func
• 0x44b384 - __lconv_init
• 0x44b38c - __set_app_type
• 0x44b394 - __setusermatherr
• 0x44b39c - _acmdln
• 0x44b3a4 - _amsg_exit
• 0x44b3ac - _cexit
• 0x44b3b4 - _fmode
• 0x44b3bc - _initterm
• 0x44b3c4 - _lock
• 0x44b3cc - _onexit
• 0x44b3d4 - _unlock
• 0x44b3dc - abort
• 0x44b3e4 - calloc
• 0x44b3ec - exit
• 0x44b3f4 - fprintf
• 0x44b3fc - free
• 0x44b404 - fwrite
• 0x44b40c - malloc
• 0x44b414 - memcpy
• 0x44b41c - signal
• 0x44b424 - sprintf
• 0x44b42c - strlen
• 0x44b434 - strncmp
• 0x44b43c - vfprintf
投放文件
行为分析
互斥量(Mutexes)
无信息
执行的命令
无信息
创建的服务
无信息
启动的服务
无信息
进程
beacon.exe PID: 2564, 上一级进程 PID: 2240
访问的文件
- \??\pipe\MSSE-9536-server
读取的文件
- \??\pipe\MSSE-9536-server
修改的文件
无信息
删除的文件
无信息
注册表键
无信息
读取的注册表键
无信息
修改的注册表键
无信息
删除的注册表键
无信息
API解析
无信息