揭秘针对安全研究人员的恶意软件：React2Shell伪造漏洞概念验证与虚假CVE扫描器

调查针对安全研究人员的恶意软件：React2Shell伪造POC与虚假CVE扫描器

这个案例非常容易识别其可疑行为。bytes.fromhex是一个众所周知的检测模式，可以作为分析的起点（对于基于Python的脚本），而且攻击者在脚本开头加入这部分内容，也暗示其技术并不高明……🤡

混淆逻辑同样拙劣且极易识别。

github.com

CyberChef十六进制解码

gchq.github.io/CyberChef/

对于任何样本，即使检测结果显示为0/97，也并不意味着它是安全的。这仅仅意味着目前还没有安全厂商检测到它——这可能是尚未被人工分析的新鲜样本、尚未被检测的样本、混淆程度足够高，或者恶意软件成功进行了虚拟机/沙箱检测并延迟了执行，从而绕过了所有的杀毒软件和终端检测与响应检查。

这是在未进行深度恶意软件逆向工程之前，用于收集初步信息的快速步骤。

CSD0tFqvECLokhw9aBeRqqy7pDVE9jtHSghPeFdiPyG/dtwcPgQ6moSsOPXHAp59lwc6rL7TlDCxSo3bPf9q4qrygsd35Gkez7EJ3Wo+WeLf+1b+417Ja7zWFXOKH98w