Panda Banker 解析 (1) - 解析メモ ... 軽く動作確認 Panda Banker 解析 (2) - 解析メモ ... UnhandledExceptionFilter による耐解析機能 Panda Banker 解析 (3) - 解析メモ ... アンパック Panda Banker 解析 (4) - 解析メモ ... Extended Attribute (EA) …

Panda Banker 解析 (1) - 解析メモ Panda Banker 解析 (2) - 解析メモ Panda Banker 解析 (3) - 解析メモ Panda Banker 解析 (4) - 解析メモ EA付きのペイロードが svchost.exe にコードインジェクションをしている疑惑を解明していく。 IDA Pro でインポー…

Panda Banker 解析 (1) - 解析メモ Panda Banker 解析 (2) - 解析メモ Panda Banker 解析 (3) - 解析メモ 監視しているプロセスが分かったので、unpacked 検体を ProcessMonitor で確認する。 前回は Majuro.exe が実行されたところで止めていたが、少し泳が…

Panda Banker 解析 (1) - 解析メモ Panda Banker 解析 (2) - 解析メモ ollyDbg で AccessViolation 以降のデバッグも大丈夫そうなので、解析を続ける。 プロセスツリーを見ると、子プロセスを実行すると同時に自プロセスを Terminate している。 自プロセス→…

blog.minerva-labs.com 今日はこの検体。 検体自体は PowerShell のスクリプトで、定番の Base64 でエンコードされているスクリプトを実行するタイプ。 WMI64.ps1 Neutrino.ps1 それぞれデコードしてみたら意外と長くなった。 デコードはスクリプトの最後の …