深入分析由黑客组织DarkHydrus使用的Powershell恶意软件

发布时间：2022-06-27 13:10 所属栏目：53 来源：互联网

导读：MD5： .iqy: 377cfd5b9aad2473d1659a5dbad01d90 Downloader: bd764192e951b5afd56870d2084bccfd Final Stage: 953a753dd4944c9a2b9876b090bf7c00 从Unit 42的博文我们得知，DarkHydrus利用包含受密码保护的RAR文件的鱼叉式钓鱼电子邮件来感染他们的目标。这

　　MD5：
　　
　　.iqy: 377cfd5b9aad2473d1659a5dbad01d90

　　Downloader: bd764192e951b5afd56870d2084bccfd

　　Final Stage: 953a753dd4944c9a2b9876b090bf7c00

　　从Unit 42的博文我们得知，DarkHydrus利用包含受密码保护的RAR文件的鱼叉式钓鱼电子邮件来感染他们的目标。这个RAR文件包含一个含有URL的.iqy文件（Internet查询文件）。由于IQY文件在默认情况下是由Excel打开的，因此在执行这个IQY文件时，Excel会通过包含在.IQY中的URL来检索内容（检索操作在弹出一组警告窗口之后进行）。下面让我们来具体看看这个IQY文件：

　　正如你所看到的那样，在文件执行时，我们收到了来自MicrosoftExcel的警告，指出运行IQY文件存在安全隐患。为了继续运行该文件，我们需要单击“Enable”。那么，在单击“Enable”之后会发生什么呢？

　　由于它们使用的是相同的Powershell混淆技术，因此我们可以使用下图中的python脚本来对有效载荷（payload）进行解编码和解压缩。

　　之后，我注意到了一些关键字，如VBox、VirtualBox、Qemu等，因此我前面提到的“怀疑这可能是一种反分析方法”的想法是正确的。DNS通信基于以下queryTypes变量：

　　"A", "AAAA", "AC","CNAME", "MX", "TXT", "SRV","SOA";

　　在分析C2协议前，我想弄清楚恶意软件所使用的反分析方法。

（编辑：ASP站长网）