文章总结： 本文分析一款伪造成AnyDesk签名的恶意样本。该样本具备反调试、互斥体单例及自我拷贝持久化能力。其核心逻辑是检测网络连通性后，从远程服务器下载并执行shellcode载荷。文章提供了详细的静态函数解读、动态调试过程及IOC指标，揭示了其作为黑产团伙远程控制木马的行为特征。 综合评分： 84 文章分类： 恶意软件,逆向分析,威胁情报

样本分析 | 伪AnyDesk远程桌面软件的恶意样本分析

sec0nd安全

2025年12月31日 23:45 北京

以下文章来源于渗透结束-非常安全 ，作者俺不是鸡哥

渗透结束-非常安全 .

渗透测试结束，非常安全。

前言

这里简单记录一下某恶意样本分析过程，如有写的不正确的地方欢迎各位师傅指正。

昨晚收到私信说是有新的样本，且攻击者的C2服务上还存在漏洞，估计是这攻击者用python启动的服务挂在了根目录。

由于当时在冲三角洲没有及时看，今天再查看时攻击者的服务已经关闭了。

程序名称：测试.exe

编程语言：C++

编译时间：2025年12月7日

签名工具：Windows Authenticode(2.0)[PKCS#7]

签名者：AnyDesk Software GmbH（远程桌面开发公司）

微步社区沙箱信息

是否恶意：恶意

首次提交：2025年12月9日

标签：黑产团伙

哈希值：

70ee03fc84d72adab7d456ac4740468254109b5e7d0596d12daee769d4cde914

分析

拿到可执行程序简单查看后

直接拖到ida中，定位到入口函数

跟进sub_401EB7中查看

sub_40241B用于反调试，避免程序被调试

sub_401440用于判断文件是否在设定的目录位置执行，如果不在则拷贝到设定的目录中并执行和做持久化，如果在的话则判断是否通公网，如果通公网就从攻击者的服务器中下载bin文件并创建线程执行，不通公网的话则直接循环验证。

sub_4010A0利用互斥体确保只有单程序在运行

sub_401060用于检查是否通公网

sub_401370用于调用sub_4011F0从远端下载恶意文件，如果失败会重试

sub_4011F0用于从远端下载文件，信息如下：

UA头：shellcode_loader

下载地址：

http://47.242.68.7/chfs/shared/103.186.215.43×86.bin

sub_4013D0用于创建线程执行shellcode

sub_401140用于拷贝旧文件到新文件中

sub_4011B0用于执行拷贝完的新文件

sub_401BA0用于创建计划任务

CreateAndExecuteTask利用RPC调用恶意任务执行

简单动态调试下，首先在非设定的目录中执行，拷贝旧文件到新文件中

旧文件：当前程序

新文件：

C:\ProgramData\xfolder32\svchost64.exe

103.186.215.43×86.bin文件则因为攻击者已经将服务端关闭无法获取，但可以从沙箱中跑出的内容得知是进行远程控制

IOC

103.186.215.43

47.242.68.7

70ee03fc84d72adab7d456ac4740468254109b5e7d0596d12daee769d4cde914

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：sec0nd安全 《样本分析 | 伪AnyDesk远程桌面软件的恶意样本分析》