文章总结： 本文分析了护网行动中的钓鱼样本，揭示其利用PDF快捷方式执行隐藏的runtime.dat，通过ASCII混淆解密代码。样本具备持久化机制，创建计划任务并生成恶意exe。随后对Go语言编写的恶意软件进行逆向，识别出AES解密、互斥锁及HTTPC2通信特征，具备反调试能力。 综合评分： 87 文章分类： 恶意软件,逆向分析,实战经验,红队,应急响应

某次大型护网钓鱼样本分析

原创

wdh wdh

照夜清网络科技

2026年1月20日 23:05 北京

首先打开文件夹，发现pdf文件类型是快捷方式，打开属性了解到该快捷文件运行的是attachments下的runtime.dat文件。

发现并没有相关文件，猜测做了隐藏：

关闭“隐藏受保护的操作系统文件”后发现该执行文件，打开并分析：

分析发现解密了一串混淆代码，并执行了它，这段代码通过循环逐个字符处理长字符串，核心解密规则是Chr(Asc(Mid(原字符串, i, 1)) – 6) —— 即把原混淆字符串中每个字符的 ASCII 码减6，再转回字符，最终拼接成Jiam变量。

让AI根据相关分析，写一份仅仅针对该段混淆的字符串的解密代码，并保存到txt文档里面。

得到解密后的执行代码：

解析代码含义，首先将该\attachments.files\plugin_1 文件重命名为《北京建筑大学-李.pdf》并移动，短暂判断plugin_1 本身就是pdf文件，添加pdf后缀：

然后会删除相关的lnk快捷方式，避免留下痕迹。

之后会创建计划任务和定时执行：

解密后：

上面保存的\1,\2,\0都在代码里面被拼接成了exe文件并静默执行

经过base64解密后形成对应exe文件。

点击钓鱼链接，查看是否是按照分析执行。

这时候可以确定恶意软件，对恶意软件进行分析。

由go语言编写。

进入IDA

1. 找到main函数的入口位置
2. 经过分析2处代码的含义，判定为混淆代码
3. 3处为AES解密函数，跟进去：

发现代码逻辑很长，我们采用动态调试获取解密字符串：

找到解密前的字符串：

找到字符串所在的位置；判断222.5379E0函数为解密函数

我们调试看字符串变化：

可以看到字符串变化为Global\88d58e63-7fab-49cc-bc4d-6b4fd24f6e5d。，暂时没有相关关键信息发现。

接着分析，暂时认为” main_mutex_Acquire是进行互斥锁，确保当前只有一个进程连接服务器，降低了被发现的可能。

通过判断，我们将目标锁定在main__ptr_BeaconClient_Run这个函数，通过翻查资料可以知道：main_NewBeaconClient里面知识声明一个对象，后续实现在main__ptr_BeaconClient_Run里面。

动态调试到该函数

找到一个建立连接的函数

在动态分析里面找到他的入口点，进入之后，很明显看到了发送http的请求，我们进入httpget函数

发现了恶意外链的IP。

通过进程监视：

当然，我在实际测试中也发现了相关反调试，因为篇幅原因，这里就不多做介绍了。总之这是一次很不错的样本分析体验。希望对你有所帮助。如果哪里分析的不到位，也欢迎交流探讨

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：照夜清网络科技 wdh wdh《某次大型护网钓鱼样本分析》