魔盾安全分析报告
| 分析类型 | 开始时间 | 结束时间 | 持续时间 | 分析引擎版本 |
|---|---|---|---|---|
| FILE | 2024-04-19 19:49:31 | 2024-04-19 19:51:41 | 130 秒 | 1.4-Maldun |
| 虚拟机机器名 | 标签 | 虚拟机管理 | 开机时间 | 关机时间 |
|---|---|---|---|---|
| win7-sp1-x64-shaapp03-1 | win7-sp1-x64-shaapp03-1 | KVM | 2024-04-19 19:49:32 | 2024-04-19 19:51:43 |
| 魔盾分数 |
|---|
1.925正常的 |
文件详细信息
| 文件名 | artifact.exe |
|---|---|
| 文件大小 | 14336 字节 |
| 文件类型 | PE32 executable (GUI) Intel 80386 (stripped to external PDB), for MS Windows |
| CRC32 | 0E2891E1 |
| MD5 | a7fcd0b15a080167c4c2f05063802a6e |
| SHA1 | c761d68786ff15b6e991770a8c9aee778dd011e9 |
| SHA256 | 9f6ae95b5540d0d6c60e942fa68dee44b2781c58da3f21321f18b8384ab41084 |
| SHA512 | 64644039b3c20b861a3186e320e3a0a14119e65c5e37e0aa108515b13e833ef227379d757bb3d7cbf5cb2e37731b37cb846264677f464e5152621b25a71045c3 |
| Ssdeep | 192:AaH+DgGK83SxHn2OQ/dmBI4KBfTgir+xzPDbqUqV/Qjo7AGa:A2+kGKqbOCdWIVBff+xzPnfCXAn |
| PEiD | 无匹配 |
| Yara |
|
| VirusTotal | VirusTotal查询失败 |
特征
通过进程尝试延迟分析任务
Process: artifact.exe tried to sleep 106 seconds, actually delayed analysis time by 0 seconds
专有的Yara规则检测结果 - 安全告警
Informational: MinGW_1
Critical: Spotted potential malicious behaviors from a small size target, like process manipultion, privilege, token and files
运行截图
网络分析
TCP连接
| IP地址 | 端口 |
|---|---|
| 104.114.76.194 | 80 |
UDP连接
| IP地址 | 端口 |
|---|---|
| 192.168.122.1 | 53 |
HTTP请求
| URL | HTTP数据 |
|---|---|
| http://acroipm.adobe.com/11/rdr/CHS/win/nooem/none/message.zip | GET /11/rdr/CHS/win/nooem/none/message.zip HTTP/1.1 Accept: */* If-Modified-Since: Mon, 08 Nov 2017 08:44:36 GMT User-Agent: IPM Host: acroipm.adobe.com Connection: Keep-Alive Cache-Control: no-cache |
静态分析
PE 信息
| 初始地址 | 0x00400000 |
|---|---|
| 入口地址 | 0x004014b0 |
| 声明校验值 | 0x0000db21 |
| 实际校验值 | 0x0000db21 |
| 最低操作系统版本要求 | 4.0 |
| 编译时间 | 2020-06-09 08:17:15 |
| 载入哈希 | dc25ee78e2ef4d36faa0badf1e7461c9 |
PE数据组成
| 名称 | 虚拟地址 | 虚拟大小 | 原始数据大小 | 特征 | 熵(Entropy) |
|---|---|---|---|---|---|
| .text | 0x00001000 | 0x00001d44 | 0x00001e00 | IMAGE_SCN_CNT_CODE|IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_ALIGN_16BYTES | 5.87 |
| .data | 0x00003000 | 0x00000424 | 0x00000600 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE|IMAGE_SCN_ALIGN_4BYTES | 5.45 |
| .rdata | 0x00004000 | 0x000002f4 | 0x00000400 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_ALIGN_4BYTES | 4.37 |
| .bss | 0x00005000 | 0x0000045c | 0x00000000 | IMAGE_SCN_CNT_UNINITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE|IMAGE_SCN_ALIGN_32BYTES | 0.00 |
| .idata | 0x00006000 | 0x000006ec | 0x00000800 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE|IMAGE_SCN_ALIGN_4BYTES | 4.20 |
| .CRT | 0x00007000 | 0x00000034 | 0x00000200 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE|IMAGE_SCN_ALIGN_4BYTES | 0.25 |
| .tls | 0x00008000 | 0x00000020 | 0x00000200 | IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE|IMAGE_SCN_ALIGN_4BYTES | 0.22 |
导入
库 KERNEL32.dll:
• 0x406138 - CloseHandle
• 0x40613c - ConnectNamedPipe
• 0x406140 - CreateFileA
• 0x406144 - CreateNamedPipeA
• 0x406148 - CreateThread
• 0x40614c - DeleteCriticalSection
• 0x406150 - EnterCriticalSection
• 0x406154 - FreeLibrary
• 0x406158 - GetCurrentProcess
• 0x40615c - GetCurrentProcessId
• 0x406160 - GetCurrentThreadId
• 0x406164 - GetLastError
• 0x406168 - GetModuleHandleA
• 0x40616c - GetProcAddress
• 0x406170 - GetStartupInfoA
• 0x406174 - GetSystemTimeAsFileTime
• 0x406178 - GetTickCount
• 0x40617c - InitializeCriticalSection
• 0x406180 - LeaveCriticalSection
• 0x406184 - LoadLibraryA
• 0x406188 - LoadLibraryW
• 0x40618c - QueryPerformanceCounter
• 0x406190 - ReadFile
• 0x406194 - SetUnhandledExceptionFilter
• 0x406198 - Sleep
• 0x40619c - TerminateProcess
• 0x4061a0 - TlsGetValue
• 0x4061a4 - UnhandledExceptionFilter
• 0x4061a8 - VirtualAlloc
• 0x4061ac - VirtualProtect
• 0x4061b0 - VirtualQuery
• 0x4061b4 - WriteFile
库 msvcrt.dll:
• 0x4061bc - __dllonexit
• 0x4061c0 - __getmainargs
• 0x4061c4 - __initenv
• 0x4061c8 - __lconv_init
• 0x4061cc - __set_app_type
• 0x4061d0 - __setusermatherr
• 0x4061d4 - _acmdln
• 0x4061d8 - _amsg_exit
• 0x4061dc - _cexit
• 0x4061e0 - _fmode
• 0x4061e4 - _initterm
• 0x4061e8 - _iob
• 0x4061ec - _lock
• 0x4061f0 - _onexit
• 0x4061f4 - _unlock
• 0x4061f8 - _winmajor
• 0x4061fc - abort
• 0x406200 - calloc
• 0x406204 - exit
• 0x406208 - fprintf
• 0x40620c - free
• 0x406210 - fwrite
• 0x406214 - malloc
• 0x406218 - memcpy
• 0x40621c - signal
• 0x406220 - sprintf
• 0x406224 - strlen
• 0x406228 - strncmp
• 0x40622c - vfprintf
投放文件
行为分析
互斥量(Mutexes)
无信息
执行的命令
无信息
创建的服务
无信息
启动的服务
无信息
进程
artifact.exe PID: 2584, 上一级进程 PID: 2184
访问的文件
- \??\pipe\MSSE-2781-server
读取的文件
- \??\pipe\MSSE-2781-server
修改的文件
无信息
删除的文件
无信息
注册表键
无信息
读取的注册表键
无信息
修改的注册表键
无信息
删除的注册表键
无信息
API解析
无信息