由 dawei MD5:
.iqy: 377cfd5b9aad2473d1659a5dbad01d90
Downloader: bd764192e951b5afd56870d2084bccfd
Final Stage: 953a753dd4944c9a2b9876b090bf7c00
从Unit 42的博文我们得知,DarkHydrus利用包含受密码保护的RAR文件的鱼叉式钓鱼电子邮件来感染他们的目标。这个RAR文件包含一个含有URL的.iqy文件(Internet查询文件)。由于IQY文件在默认情况下是由Excel打开的,因此在执行这个IQY文件时,Excel会通过包含在.IQY中的URL来检索内容(检索操作在弹出一组警告窗口之后进行)。下面让我们来具体看看这个IQY文件:
正如你所看到的那样,在文件执行时,我们收到了来自MicrosoftExcel的警告,指出运行IQY文件存在安全隐患。为了继续运行该文件,我们需要单击“Enable”。那么,在单击“Enable”之后会发生什么呢?
由于它们使用的是相同的Powershell混淆技术,因此我们可以使用下图中的python脚本来对有效载荷(payload)进行解编码和解压缩。
之后,我注意到了一些关键字,如VBox、VirtualBox、Qemu等,因此我前面提到的“怀疑这可能是一种反分析方法”的想法是正确的。DNS通信基于以下queryTypes变量:
"A", "AAAA", "AC","CNAME", "MX", "TXT", "SRV","SOA";
在分析C2协议前,我想弄清楚恶意软件所使用的反分析方法。