逆向[Turla组织TinyTurla-NG]last chance
逆向[Turla组织TinyTurla-NG]last chance
前言
工作需要,对该威胁分析进行逆向,并提取出流量特征,这里对过程进行简单的记录
Turla组织TinyTurla-NG
- TinyTurla-NG新后门与TinyTurla后门的植入方式相同,均是以
服务DLL
的形式出现,并且均是通过svchost.exe
启动,因此先尝试对TinyTurla-NG新后门的运行场景进行复现; - TinyTurla-NG新后门的功能代码较TinyTurla后门复杂一些,通过对TinyTurla-NG新后门开展逆向分析工作,对其样本功能及运行逻辑进行详细剖析梳理;
- 通过动态调试,研究分析TinyTurla-NG新后门的通信模型;
- 尝试构建TinyTurla-NG新后门C&C站点,模拟复现TinyTurla-NG新后门的远程控制行为及恶意流量。
样本功能分析
TinyTurla-NG新后门运行逻辑如下:
- 服务成功启动后,将调用ServiceMain函数,在ServiceMain函数中,将调用beginthreadex函数创建主感染线程;
- 在主感染线程中,样本将创建两个线程:
- 第一个线程主要用于向C2服务器发起网络通信;
- 第二个线程主要用于对第一个线程中接收的远控命令进行执行;
创建主感染线程
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 Daily Study!