调查针对安全研究人员的恶意软件:React2Shell伪造POC与虚假CVE扫描器
这个案例非常容易识别其可疑行为。bytes.fromhex是一个众所周知的检测模式,可以作为分析的起点(对于基于Python的脚本),而且攻击者在脚本开头加入这部分内容,也暗示其技术并不高明……🤡
混淆逻辑同样拙劣且极易识别。
github.com
CyberChef十六进制解码
gchq.github.io/CyberChef/
对于任何样本,即使检测结果显示为0/97,也并不意味着它是安全的。这仅仅意味着目前还没有安全厂商检测到它——这可能是尚未被人工分析的新鲜样本、尚未被检测的样本、混淆程度足够高,或者恶意软件成功进行了虚拟机/沙箱检测并延迟了执行,从而绕过了所有的杀毒软件和终端检测与响应检查。
这是在未进行深度恶意软件逆向工程之前,用于收集初步信息的快速步骤。
CSD0tFqvECLokhw9aBeRqqy7pDVE9jtHSghPeFdiPyG/dtwcPgQ6moSsOPXHAp59lwc6rL7TlDCxSo3bPf9q4qrygsd35Gkez7EJ3Wo+WeLf+1b+417Ja7zWFXOKH98w
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
