文章总结： 该文档分析了一个利用稀土治理热点作为诱饵的Shellcode加载器攻击案例。攻击者通过包含密码保护PDF和伪装程序SecurityKey.exe的压缩包实施社会工程学攻击，程序在显示密码后执行嵌入的shellcode。技术要点包括：PEB遍历获取API地址、修改版FNV-1a哈希解析函数、纤程执行规避检测，以及仿冒稀土协会域名global-reia.com下载载荷。文档提供了IOCs和基于内存行为、网络流量、哈希常量的防御建议。 综合评分： 85 文章分类： 恶意软件,威胁情报,红队,渗透测试,漏洞分析

IOCs

• ZIP文件：818dbb421dcb451e41e266be43cfe238dd88c5ac6ce34622f85a9e67551c7583
• SecurityKey.exe：87dd99cb495afb0e3705ff762dfde2da8bc3c3986ba5f84d1df8624aa2e117c2
• Shellcode（嵌入在.rdata节中）：365cb5c973b7caa106dc112de3e084130ba8c13ae9388d20e5d267a19686b2f7
• PDF文件：037d5d2662a773ecf2f061ffdf1fc0cd6749bcbb3e2bb5bbbaa4a99666d6403e
• 域名：www.global-reia[.]com/image-directory/da.mp3
• IP：45.93.8[.]97

参考：https://dmpdump.github.io/posts/Reia/

文章来源：李白你好

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！

如侵权请私聊我们删文

END

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑白之道 《以稀土材料为诱饵的Shellcode加载器技术分析》