作者:啟明星辰ADLab
一、分析簡述
在《蜻蜓二代“Dragonfly2.0”惡意組件分析報告(上篇)》中,啟明星辰ADLab詳細闡述了蜻蜓二代的兩個組件 Backdoor.Dorshel 和 Trojan.Karagany.B 相關的技術細節,本篇將對剩餘的組件進行詳細分析。其中組件Backdoor.Goodor 和 Screenutil 目前未能找到樣本,但根據目前掌握的信息可知,組件 Backdoor.Goodor 為一款常駐組件,實現了遠程組件的下載執行,可能屬於蜻蜓二代攻擊的第二階段組件。而組件 Screenutil 為一款屏幕工具組件,主要用於實現桌面截圖功能,此項功能在蜻蜓一代中同樣也存在,該組件屬於第三階段的信息竊取組件。本文將對剩餘的4個核心組件進行詳細的剖析。
本次公開的8個組件中一些組件的功能有所重疊,由於蜻蜓黑客組織的攻擊手段多樣,所以第一個階段會因為所依賴的攻擊方式不同而採用了不同的攻擊組件,比如組件 Trojan.Karagany.B 偽裝成為 Flash 更新,適合作為第一階段的後門投放,而同樣作為第一階段被投放的 Dorshel 組件卻可能是通過郵件或者水坑式攻擊的方式進入受害主機。根據目前掌握的情況,我們列出蜻蜓二代各個組件的基本功能及其可能的投放階段,如下表:
Thanks for sharing. I read many of your blog posts, cool, your blog is very good. https://www.binance.com/bg/join?ref=PORL8W0Z