被分享一个病毒网站，有没有大佬看看这个做什么的

https://s.threatbook.com/report/file/9d82a090ae0c7f19bf04d99e25d05ae6de0f34cc289e1ea24e277b3ea126ebb0

远控木马，似乎对腾讯系的聊天软件、钉钉感兴趣

@frencis107 感谢，这页面做的还挺真

网站伪装成什么税务检查，要下载什么玩意儿，给弹一个 exe 马要下载。
部署的有点好玩，云下载但他加了一个 php 访问计数。所以访问计数器的时候你这可以把他 php 计数器脚本直接下载下来。不知道是因为批量部署还是因为攻击者没有 web 技术。
然后这个计数脚本像 chatGPT 生成的，你发的那个链接那部分 AJAX 可能也是 chatGPT 生成的。

马还不错，看着沙盒分析这个马走的流程挺漂亮的，反调试反沙箱，加密的 shellcode 伪装成图片下载，本地解密后加载。但是感觉好像有人修补过像二创或者几创了。沙盒猜这个是银狐。

回答你的问题：这个网站就骗你下载 exe 马。背后人应该就是对公司企业商业数据有兴趣的那种。

hw 钓鱼吧

下载了用卡巴斯基扫描，提示安全……
杀毒软件也不靠谱啊

@asdgsdg98 用 windows 自带的杀毒扫，必中

一个垃圾病毒罢了，混淆都没做，读取钉钉、qq 那些数据，执行代码。

@restkhz 真的写得不错嘛？一点技术都没看出来

@Loading51 看来还是 Windows defender 厉害，除了比较吃性能

已上报

一眼银狐组织。最近非常活跃，攻击流程主要是针对财务人员进行钓鱼，拿到机器控制权后通过被控机上的 微信/钉钉/QQ 横向传播。
同时会利用社交软件中的好友/群聊关系获取高价值的目标进一步钓鱼，最终目的是经济利益，比如诈骗、金融账户的账户密码

@asdgsdg98 是这个样子的。其实卡巴已经很严格了，WD 就更牛逼了。


@proxytoworld 也可能是我比较菜，不过我还是想解释一下为什么我说好。

你看到的这个程序只是一个加载器，只有 196kb 。真正的恶意部分不在这里。莫名其妙混淆加壳只会增大嫌疑。
本体其实是在网络上的机器码。和 0x69 按位异或(简单加密一下)，伪装成图片被它下载下来的。这个“图”有 4.5MB 。

好，那么从哪里下载下来的？沙盒分析出来了。但是你要自己逆向的话也可以。这个 URL 没有加密，但在.data 段里故意被拆分开来。应该是为了防止直接被杀软识别出程序里打开 URL 的 API 直接有对应的 URL 。编写的人应该是有经验的。

然后这个加载器会在内存里开辟一块空间，然后把解密后的机器码放进去，加执行权限，上个函数指针，而后调用。

这个开辟空间用的函数都是动态加载的，但是也没有用 LoadLibrary ，感觉挺别致的。这个技术我真不会。

那为什么一个加载器对 dingding 和 QQ 感兴趣？
这里我没有逆向出原因，但是我猜测这是为了精确攻击的一个方法。没 QQ 或者钉钉的机器可能不是他的目标，哎，我就直接把自己删了，而后退出。防止搞到处都是被人捕捉分析。毕竟免杀马要花钱的。但是不知道为什么似乎在沙箱里没被激活这个 kill switch.当然功能上我也没有继续分析了。

简单说一下那个 4.5M 的机器码吧，解密后翻转，里面东西就很丰富了。有 C2 地址，还有很多杀软的名字和路径，还有很多预先定义好的命令......甚至有一个开票软件的下载 URL ，所以不排除在成功运行后下载一款真的增值税开票软件......

顺便，那个 c2 也下了一点功夫隐藏自己。
我不想说整个攻击链的下游水平怎么样，但是我觉得这个马是可以的。算是有花心思策划过的而不是直接上个 CS 或者什么玩意儿。
我就不继续深挖了。

@restkhz 这个 loader ，直接就用 getprocaddr virtualalloc 这些 api 函数，特征太明显了，字符串还是硬编码的，简单的异或都没有，高级一点的都是用 hash 去找函数 去 hook ，甚至自己 load 进内存解析，这些都是很成熟的技术了，动态调用 api 。

高级免杀技术往往都是很复杂的

甚至 upx 壳都不愿意加一个

银狐啊，前两天公司有人中了