前言
蔓灵花也称bitter,是一个疑似来源于南亚的高级威胁组织。自 2013年以来,一直属于活跃状态,该组织行动目标主要是巴基斯坦、孟加拉国和沙特阿拉伯的能源、工程和政府部门。
正文
从导出表看,可以发现是在伪装Windows操作系统的动态链接库文件
进入GetFileVersionInfoByHandleEx(void)查看
跟入
判断文件
遍历获取进程信息
信息收集
解密字符串
初始化rpc
生成clientid
生成要被上传的信息,包括用户名,clientid等
等待服务端回应
参考:
Bitter 组织新攻击武器分析报告 – ORPCBackdoor 武器分析 (seebug.org)
原文始发于微信公众号(Th0r安全):APT组织蔓灵花最新样本分析
