练习1个Kimsuky样本

本文为看雪论坛优秀文章看雪论坛作者ID：戴夫的小推车一ATP简介Kimsuky是被认为来自朝鲜的APT组织。该组织善于利用复杂的东北亚地缘政治局势信息作为诱饵，主要针对韩国政府及韩美智库等机构进行钓鱼攻击。二概述初始样本是一个伪装成PDF的EXE程序，运行后释放诱饵文档xxx.hwp（韩文文档）以及另一样本Icon.pif，随后运行Icon.pif并传入参数“iDmzQtvReUSCdTn”：写入注册表使样本能自启动。随后复制自身到“C:\\ProgramData\\system32”目录下，修改名字为“smss.exe”并传入参数“zWbTLWgKymXMDwZ”，样本运行后会请求movie[.]youtoboo.kro.kr等待指令传入。三行为分析开启监控程序，运行木马，样本行为：1. 设置4个注册表键值；2. 创建文件C:\ProgramData\210927 xxx.hwp3. 运行“C:\ProgramData\Icon.pif iDmzQtvReUSCdTn”和“C:\\ProgramData\\system32\\smss.exe zWbTLWgKymXMDwZ”图 4个注册 ………………………………