一个iis劫持的样本分析

Delina

原文链接：一个iis劫持的样本分析
​
NO.1 事件描述
相关背景
在某学院发现某主机web网站存在暗链，针对该事件，相关同学在此应急事件中发现存在劫持样本，得到相关样本后，在公司大佬们的帮助下对此样本进行了分析。
样本触发效果（请求ua中使用百度蜘蛛发现暗链）

​

在w3wp.exe中发现病毒样本
​
在网站配置文件中发现样本真实路径
​
NO.2 文件信息
md5列表

​

基本结构
未加壳

​

调用网络通信相关dll

​

存在一个导出函数

​

拖入沙箱中分析发现存在恶意url

​

NO.3 详细分析
动态调试

​

在导出函数处下断点调试

​

发现程序大概会获取环境信息根据UA劫持服务器请求

​

​

​

​

​

静态分析
​​

​

​

​

本次分析发现：该文件主要功能为劫持服务器请求并接受载荷到本地执行。
分析如果有不对的地方麻烦指出。
NO.4 资料

​

样本下载：
https://pan.baidu.com/s/1FhoSYwnL9OH_hPktTaLAIg
提取码：h44m
​