首页
服装论坛t.vhao.net
专栏
课程

[病毒木马] [原创]远控木马分析申报

2019-3-8 16:31 3503

[病毒木马] [原创]远控木马分析申报

2019-3-8 16:31
3503

之前一向没怎样分析过远控木马,有时看到了一个木马样本,样本不难,也有大年夜佬分析过,只为进修

1.样本概略

1.1 样本信息

病毒称号:3601.exe

MD5: C8102164058B27B5553924255093B643

SHA1: FAD5CDE82609751365344B14C777C1BF975E410F

CRC32: C3BEFC16

1.2 测试情况及对象

2.1.1 测试情况

Windows 7 32位操作体系

2.1.2 测试对象

查壳对象:PEID、ExeinfoPE

监测对象:火绒剑、PCHunter

调试对象:OD、IDApro

1.3 基本分析

1.3.1 病毒查壳

   应用PEID停止查壳,如图1-1是个VC6.0法式榜样

 

图1-1 病毒查壳

LordPE检查区段,发明是加了UPX的壳,看法式榜样的出口点特点,确切和vc6.0法式榜样出口点特点不太一样,不过也能顺利的找到main函数,或许我拿到的样本是脱过壳的,不过这些都不是重要的。

 

图1-2 检查区段

1.3.1 加密算法

将恶意法式榜样手动脱壳,应用PEID的插件检查恶意法式榜样的加密算法,发明法式榜样含有Base64算法。

 

图1-3 加密算法

1.3.1 云沙箱分析

将恶意样本上传到微步云沙箱,发明恶意法式榜样有以下行动。

 

 

 

图1-4 云沙箱分析

2.详细行动分析

2.1 重要行动

将病毒样本拖入火绒剑中,过滤到行动监控,可以看到病毒释放文件自我复制、自我删除、释放dll文件等。

 

图2-1 病毒释放文件和自删除

 

图2-2 释放lpk文件

如图2-2,病毒在很多目次下释放了lpk.dll文件,详细都在甚么目次下释放文件后续会持续分析。

 

图2-3 加载hra33.dll

起首释放的PE文件开端启动,时代恶意法式榜样自我复制,并隐蔽释放文件,最后恶意法式榜样停止自删除。

对搜集停止监控,恶意法式榜样会请求一些IP的连接并发送数据包,如图2-2:

 

图2-4 恶意法式榜样的搜集监控

转到文件监控,恶意法式榜样也创建了一些文件

 

图2-5 恶意法式榜样的文件监控

最后应用注册表比较对象,将运转恶意法式榜样前后对齐,新增了以下注册表键值

 

图2-6 注册表比较

3.恶意代码分析

3.1 病毒法式榜样分析

不多空话,直接IDA F5弄起

 

图3-1 病毒main函数

看主函数,看起来很清楚,开工OD、IAD齐分析

下去就是WSAStartup,一看就是有搜集操作。

进入sub_405A52函数

 

图3-2 拼接字符串

 

图3-3 翻开注册表检查注册表键能否存在

持续运转法式榜样,前往值为0,可以断定这个函数的操作是拼接注册表字符串,翻开注册表,检查键值能否存在。

法式榜样持续运转,走到sub_405B6E函数

 

图3-4 字符串比较

断定法式榜样能否在体系目次下

 

图3-5 随机生成字符

随机生成字符,拼接成文件名,拷贝到C:\Windows目次下

 

图3-6 创建办事

 

图3-7 启动办事

创建并启动办事。

 

图3-8 添加注册表键

添加注册表键HKEY_LOCAL_MACHINE\system\\CurrentControlset\\services\\Ghijkl Nopqrstu Wxy

 

图3-9 cmd敕令

最后,函数前往时履行cmd敕令,自我删除

 

图3-10 拼接后的敕令

 

图3-11 函数重新定名

法式榜样已终止,将C:\Windows目次下的法式榜样加载到OD,法式榜样将履行以下代码

 

图3-12 条件语句的上部分

接上去重要分析回调函数

 

图3-13 将ASCII码转为char

 

图3-14 检查互斥体

根据图3-13和图3-14是为了检查互斥体"Ghijkl Nopqrstu Wxy"能否存在,存在则停止法式榜样。

 

图3-15 下部分

sub_405394函数感化是罗列资本段释放hra0.dll

sub_4053A6函数以下:

 

图3-16 翻开注册表

 

图3-17 读取注册表值

 

图3-18 操作资本

如图3-14、3-15、3-16可知,这个函数的感化是检查注册表键并在资本上操作了一串字符串。

 

图3-19 加载dll

sub_4034E5函数加载了dll文件

 

图3-20 全体

这些便分析完成,dll文件会稍后分析,下面持续分析三个线程函数

 

图3-21 三个线程函数

接上去分析三个线程函数

线程一函数:

 

图3-22 弱口令

看到这些弱口令,就应当能猜到是用于弱口令连接局域网停止感染

 

图3-23 拼接字符串

 

图3-24 共享目次

经过过程如上分析,线程一函数是经过过程弱口令感染局域网其他主机,并经过过程共享目次将病毒传播出去,应用at筹划义务,直接admin$共享。

线程二函数:

 

图3-25 获得以后日期

 

图3-26 函数定名

起首获得体系以后日期,然落后入sub_405128函数

 

图3-27 sub_405128

在sub_405128函数中,又创建了一个线程(子),进入线程函数中

 

图3-28 连接域名

线程(子)起首连接sbcq.f3322.org,然后断定能否连接成功,连接成功持续履行代码,连接掉败直接前往,当连接成功是时,持续履行以下代码

 

图3-29 断定I/O敕令

图3-29断定应用了哪一种I/O控制敕令,然后前往对应的句柄

 

图3-30 体系版本号

在sub_4060F0函数中,起首获得体系版本号

 

图3-31 CPU信息

 

图3-32 内存信息

 

图3-33 体系其它信息

总之,sub_4060F0函数为获得体系信息函数

以后又是加载了dll文件,然后向控制端发送数据,等待接收控制端传来的敕令

 

图3-34 向控制端发送消息

 

图3-35 等待控制端发的消息

以后就是几个if-else中的几个case语句,应当是根据控制端发过去的数据停止断定履行,起首看当接收的数据大年夜于6时。

数据为0x10时,拜访指定url下载恶意法式榜样莅临时文件目次并启动

 

图3-36 数据为0x10

数据为0x12时,起首翻开互斥体,假设翻开成功就释放掉落,然后初始化一些信息,更新病毒,假设下载病毒成功,则删除原本的办事、注册表和法式榜样。如图3-37和3-38

 

图3-37 数据为0x12(上)

 

图3-38 数据为0x12(下)

数据为0x12时,翻开IE,拜访网址

 

图3-39 数据为0x14

以上是接收的数据大年夜于6时,小于等于6时情况以下:

等于6时,和数据为0x12时一样,起首翻开互斥体,假设翻开成功就释放掉落,然后初始化一些信息,更新病毒,假设下载病毒成功,则删除原本的办事、注册表和法式榜样。

 

图3-40 接收数据为6时

当数据小于6时

当数据为0x2时,对socket停止一些初始化

 

图3-41 初始化socket

当数据为0x3时,模仿浏览器headers信息请求数据包

 

图3-42 设置headers信息

 

图3-43 Get请求数据包

当数据为0x4时,也是对socket的一些初始化

 

图3-44 socket初始化

到这里,线程二函数分析完成

线程三函数:

进入线程三函数,发明与线程二函数的操作根本分歧,只不过要连接的域名变成了www.520123.xyz

 

图3-45 连接www.520123.xyz

三个线程分析终了

 

图3-46 三个线程

接上去分析while轮回中的线程

 

图3-47 while轮回中的线程

看到while轮回中的线程函数,照样熟悉的感到,和线程2、线程三的操作如出一辙,只是要连接的网址应用Base64停止编码加密

 

图3-48 加密的网址

用对象停止解密,发明出现乱码,能够编码不一样

 

图3-49 解密对象解密

照样选择用OD跟踪,取得了精确的网址www.520520520.org:9426

 

图3-50 解密取得网址

最后将函数重定名

 

图3-51 函数重定名

病毒主法式榜样分析终了

3.2 hra33.dll分析

写一个法式榜样LoadLibrary(hra33.dll),找到出口点

 

图3-52 hra33.dll出口点

用ida检查dll出口点函数,如图3-53

 

图3-53 ida检查dll出口点函数

开端分析hra33.dll,进入sub_10001134函数

 

图3-54 加载dll到内存

 

图3-55 LoadResource

经过过程LoadResource函数将资本中的dll文件加载到内存

检查sub_10001338函数,断定能否是临时文件

 

图3-56 sub_10001338函数

sub_10001193函数功能是加载资本,在临时目次下创建文件,创建过程

 

图3-57 sub_10001193函数

sub_100012F6函数断定以后目次下能否含有lpk.dll文件

 

图3-58 sub_100012F6函数

进入sub_100019E6函数,外面创建了一个线程函数,进入线程函数外部

 

图3-59 线程函数

外面断定了能否是exe、rar、zip文件,是的话在以后目次下放入lpk.dll,进入感染紧缩包的函数

 

图3-60 感染紧缩包

应用winrar自带的shell敕令将lpk.dll放入紧缩包中

进入sub_100010CE函数中,获得了体系目次下的lpk,并LoadLibrary

 

图3-61 加载体系目次下的lpk.dll

最后,封闭句柄,释放加载

 

图3-62 释放加载

恶意代码部分分析终了

4.手动查杀

1.删除HKEY_LOCAL_MACHINE\system\\CurrentControlset\\services\\Ghijkl Nopqrstu Wxy下注册表键

2.停止Ghijkl Nopqrstu Wxy的办事,删除办事并删除办事途径下的法式榜样

3. 删除C:\windows\system32\hra33.dll文件

4. 删除生成的lpk.dll文件


最后,上张pdf格局截图,有兴趣分析的同伙可以下载附加pdf,便利检查




[推荐]看雪企服平台,供给安然分析、定制项目开辟、APP等级保护、渗透渗出测试等安然办事!

最后于 2019-3-8 16:33 被VicZ编辑 ,缘由:
上传的附件:
上一主题 下一主题
最新答复 (9)
Editor 2019-3-8 16:38
2
0
感激分享!
DWwinter 2019-3-11 13:26
3
0
感谢楼主码字贴图
WinMainE 2019-3-17 10:47
4
0
楼主贴图码字详细,辛苦
VicZ 1 2019-3-20 08:14
6
0
微步在线 楼主近期推敲任务机会吗?
正在找
风吹鸡蛋壳 2019-3-21 17:29
8
0
楼主,辛苦
d16ug_a1l 2019-4-15 23:08
9
0
楼主超凶猛,辛苦啦

一号正派人物 2019-5-15 22:28
10
0
楼主,我想问一下,在vm虚拟机win7professional64位体系下,为甚么3601.exe不克不及运转啊,以下图所示,一向卡在这,搜集连接正常。
旅客
登录 | 注册 方可回帖
前往