您好,登錄后才能下訂單哦!
本文轉載自“FreeBuf.COM ”,原文作者:gechengyu
今年的世界杯越來越看不懂,想去天臺吹吹風都不一定有位置,心涼了,事兒還得做,先從網上抓個可疑樣本壓壓驚!上手分析才發現并沒有我想得那么簡單……
一、基本信息
拿到可疑文件第一時間扔到“虛擬執行環境”中先讓它自己可勁兒折騰一番,咱只需要坐在老板椅上,翹著二郎腿,喝著茶,唱著歌,沒一會兒功夫分析報告就出來啦~
▲圖:流程圖
2.1 首先使用 PEid 查殼,發現具有 UPX 殼,UPX 殼比較好脫,T 友們可以自行脫殼。
2.2 過了一層殼之后,接著又是一段解密代碼,一直走下去,最終又會回到 0×00400000 地址段中,你會發現,和源程序一樣,是經過 UPX 加殼的。
2.3 依照同樣的方法跳過 UPX 殼后,就進入到樣本的主體程序。
樣本首先會查詢系統默認的瀏覽器路徑,如果查詢失敗就使用IE瀏覽器(后期用來進行進程注入),如果兩個方法都失敗,就會退出程序。
2.4 通過檢查互斥體 KyUffThOkYwRRtgPP 是否已經存在來保證同一時間只有一個實例在運行。
2.5 進程名校驗,樣本會首先判斷自己的進程名是否為 DesktopLayer.exe,如果是的話,就退出此函數,如果不是,就會構造 c:program filesmicrosoft 目錄,然后將自身拷貝的此目錄下,并命名為 DesktopLayer.exe,然后啟動此程序。
2.6 當自身進程名為 DesktopLayer.exe 時,將會對函數 ZwWriteVirtualMemory 進行 Inline Hook,回調函數如下:
2.7 接著創建進程,此進程為開頭獲得的瀏覽器進程,在進程創建時會調用 ZwWriteVirtualMemory 函數,而這個函數已經被 hook 并跳轉到 sub_402A59,此函數的主要功能就是對啟動的目標進程進行進程注入,并將一個 PE 文件寫入目標進程,寫入的 PE 文件原本是嵌入在自身文件中的。使用 16 進程程序可以發現,脫殼后的樣本中嵌入的 PE。
2.8 注入完之后會還原 ZwWriteVirtualMemory 的代碼。
三、詳細分析
經過這么多的操作,其實它的重點行為才剛剛開始。
3.1 使用 OD 附加到目標程序,經過幾個函數的調用就會進入到嵌入的 PE 文件中,程序結構比較清晰。
3.2 創建不同的線程執行不同的功能,下面對其中幾個比較重要的線程進行說明:
Sub_10007ACA:將自身文件路徑寫入注冊表
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit,實現自啟動。
Sub_1000781F:在 c:program filesInternet Explorer 下創建 dmlconf.dat 文件,并寫入 FILETIME 結構體數據。
Sub_10005906:此線程沒有被運行,不過通過對代碼的靜態分析,發現它會監聽 4678 端口,等待連接。收到連接后會接受命令并執行對應的操作。所以猜測此線程為一個后門,用來接收攻擊者的命令。
Sub_1000749F:此函數中會創建兩個線程。
其中 Sub_10006EA8 用于感染 exe,dll,html,htm文件,總體思路都是將自身文件寫入到目標文件中,例如下圖感染的 htm 文件。寫入的是一個 VB 腳本,變量 WriteData 存儲的是一個 PE 文件。
受感染的 PE 文件會多處一個 rmnet 段。
Sub_10006EC2:感染可移動介質,他會將自身寫入到可移動介質,并在目錄下創建 autorun.ini 文件,然后寫入如下數據:
[autorun]..action=Open..icon=%WinDir%system32shell32.dll,4..shellexecute=.RECYCLERS-1-7-42-5416413684-3444774702-722318625-0540AbxOgufK.exe..shellexplorecommand=.RECYCLERS-1-7-42-5416413684-3444774702-722318625-0540AbxOgufK.exe..USEAUTOPLAY=1..shellOpencommand=.RECYCLERS-1-7-42-5416413684-3444774702-722318625-0540AbxOgufK.exe
其中 AbxOgufK.exe 即為自身程序。分析過程中發現的域名 fget-career.com,經查詢得知為惡意域名。
四、總結
深知自己分析能力有限,其實就是想拋塊磚嘛(內心無比的鄙視自己…),樣本分析是個技術活,也要耐得住寂寞,沒有一款解悶的好工具怎么行?這次用的云沙箱提前為我多維度的檢測樣本,省力又省心,感興趣的朋友可以多用用哈~
P.S. 天臺上的 T 友們快下來吧!這么多惡意軟件等著你們來分析呢!世界需要你們來守護~
也可以直接查看分析報告,繼續深度分析,報告地址如下:
fd6c69c345f1e32924f0a5bb7393e191b393a78d58e2c6413b03ced7482f2320
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。