Autor
Análisis
1. cargador
1.1. Embalador de primera etapa
1.2. Segunda etapa, embalador / inyector personalizado.
1.2.1. Trucos Antidebug
1.2.1.1. Antidebug trucos: ofuscación API
1.2.1.2. Trucos Antidebug: Trucos del tiempo
1.2.1.3. Trucos Antidebug: HKCU \ Software \ Microsoft \ Windows \ Identifier
1.2.1.3. Trucos Antidebug: cheques CPUID
1.2.1.4. Trucos Antidebug: Camina ejecutando procesos buscando nombres conocidos
1.2.1.5. Trucos Antidebug: Camina los módulos del propio proceso buscando nombres conocidos
1.2.1.6. Trucos Antidebug: IsDebuggerPresent / CheckRemoteDebuggerPresent
1.2.2. Inyección
1.2.3. Otros detalles
1.2.3.1. BotId y mutex
1.2.3.2. PRNG
2. módulo banquero
2.1. WebInjects
2.2. Ganchos del navegador
2.3. Otras capacidades de ladrón
3. Similitudes con el código fuente filtrado NukeBot
3.1. Función InjectDll en el módulo de banquero
3.2. Hollow-process explorer.exe
3.3. BotId aleatorio
4. Conclusiones
Link: http://www.peppermalware.com/2019/01/analysis-of-neutrino-bot-sample-2018-08-27.html
Saludos.
|
 |
Bienvenido(a), Visitante. Por favor Ingresar o Registrarse ¿Perdiste tu email de activación?. |
En línea
