> **来源:[研报客](https://pc.yanbaoke.cn)** ```markdown ## 混合产出沙盒 **目标阐述:** 利用沙盒环境展示不同类型攻击在Windows 10上的执行过程,并识别其典型侧写特征。 **实验环境:** Windows 10专业版21H1 64位,32GB内存,NVMe SSD。 ## 一、 静态分析与解码过程 1. **Base64解码与数据分段:** - 初始字符串经Base64解码后得到二进制数据。 - 数据头部结构(0x4D5A标识MZ PE文件签名,表明文件本质为PE格式)。 - 子字符串提取与特征识别:聚焦于特定标识字段提取。 - 后缀字符串解码:技术短语、文件路径和URL。 2. **PE文件分析流程:** - PE文件被加载至IDA Pro中进行反编译。 - 入口点函数结构推断:包含shellcode推送、内存分配等操作。 - 函数调用序列分析: `LoadLibraryA("kernel32.dll")` 等API序列排查。 - 加载库名称与潜在功能判断:powershell.exe、cmd.exe执行嫌疑。 ## 二、 动态分析与行为验证 1. **调试器环境设定:** - 使用WinDbg调试器附加正在执行的PE文件进程。 - ETB数据绑定与控制流跟踪实施。 - 指令序列跟踪确认:初期行为跳跃性控制流可能导致死锁。 2. **关键系统状态变化:** - 进程创建:观察产生子进程w7asconsole.exe。 - 注册表键值写入:检测到持久化注册,影响系统恢复机制。 - 网络连接建立:确认与外部C2服务器通信。 - 注册表监控结果: `HKEY_LOCAL_MACHINE\Software\Classes\ * \shell` 被加密修改。 `HKEY_CURRENT_USER\Volatile\` 下创建持久化键值。 - 子进程行为分析: * w7asconsole.exe - 具备反弹Shell功能。 - 对父进程关系存在混淆。 - 通过数字签名模仿合法程序。 * powershell.exe - 执行命令:`whoami /all`、`net users`、`tasklist`。 - 影响路径:可写入系统文件与注册表。 * cmd.exe - 执行:`bcdedit`、`powershell.exe` 调用。 3. **内存转储与行为回溯:** - 内存转储捕获执行期间的完整寄存器状态与内存上下文。 - 常驻线程标识:线程ID _ 0x12b8 已完成永久内存居住。 - 支持行为重建:根据内存镜像可复现攻击者的特殊注入方式。 ## 三、 结论与归档建议 1. **攻击特征归纳:** - 凭据形式:分段加载方式MixedStager。 - 行为逆转:环境感知型隐藏,具备执行PowerShell及CMD命令能力。 - 传播链路:依赖网络通信,传播路径不明。 - 侧写隐匿:缓存代码段识别设计,复杂污点传播。 2. **归档建议:** - 保存PE文件实体(双重哈希校验)。 - 维护完整进程树与内存镜像记录。 - 注册表劫持行为与母镜像跟踪。 - 网络流量完整性分析结果记录。 **备注:** PET焦点研究显示,此类威胁常通过数字签名模拟和系统组件社区扩展来实现隐藏。请部署计划任务联合监控,并结合SCAP协议包进行下一步追踪。 ```