HW行动 - .Net+窃密样本分析
# 一、样本概述样本“CHUAN PROJECT 1-22_pdf.exe”
为.net程序,伪装为境外阅读软件(俄文)。通过连续释放、解密、执行加密的各个木马文件,窃取用户的各种登录凭证与密码,通过邮件发送,并能够设置计划任务自启。
样本文件相关
| 释放文件 | 功能 |
| -------------------------- | -------------------- |
| CHUAN PROJECT 1-22_pdf.exe | 伪装的木马 |
| WinRar.dll | 解压执行的中间文件 |
| B2B.dll | 环境检查、执行、注入 |
| CrZEdznRJeUvvUsgKRdjI.exe| 窃密程序 |
提取邮箱打码处理后
| 登录邮箱 | \*.origin@*.com |
| -------------- | ----------------- |
| 邮箱key | \*Np0 |
| 登录的邮箱主机 | \*.smtp. \*.com |
| 接收地址 | \*.origin@\*.com |
| 发送地址 | \*.origin@\*.com |
# 二、样本类型
样本类型为密码窃取。
# 三、详细分析
## 3.1 执行释放
*释放WinRar.dll用于解压*
*解压*B2B.dll所需的资源与key
*解压并加载执行*B2B.dll
B2B.dll
*反调试检查*
*反病毒环境检查*
*解密文件 与 注入函数*
*设置计划任务*
*下载功能(未使用)*
B2B.dll的部分功能
B2B.dll*解密其资源v1pqmF2h,得到如下可执行文件*
CrZEdznRJeUvvUsgKRdjI.exe*反混淆处理*
## *3.2 攻击细节*
### *3.2.1 键盘记录*
*注册键盘钩子*
*键盘消息*
*键盘钩子回调*
### 3.2.2 密码窃取
遍历Windows各类密码凭证的guid,读取对应key:
收集guid
收集的guid
遍历用户目录下的各类浏览器保存的密码凭证:
查找qq浏览器
遍历结果
上图:寻找“logins”凭证
上图:查询注册表寻找FTP凭证
上图:保存上述窃取的各类登录凭证
邮件发送
smtp协议发送邮件
解密对应邮箱地址和smtp协议key:
| 登录邮箱 | \*.origin\@\*.com |
| -------------- | ----------------- |
| 邮箱key | \*Np0 |
| 登录的邮箱主机 | \*.smtp. \*.com |
| 接收地址 | \*.origin\@\*.com |
| 发送地址 | \*.origin\@\*.com |
打码处理
# 四、样本特征
## 4.1 文件hash
| Name | Md5 |
| -------------------------- | -------------------------------- |
| CHUAN PROJECT 1-22_pdf.exe | cc9edea782c5b8713378e3f6d92cf0ab |
| WinRar.dll | 1ac41b03e64317c64c23c13f9a50857b |
| B2B.dll | af3616a06c56f710cc67b3e66f9230f5 |
| CrZEdznRJeUvvUsgKRdjI.exe| 53467c50585fc99dcbf66790a5e635a8 | 大佬大佬{:301_1003:} 向大佬学习,收藏了{:301_1003:} 学习了,大佬 这个应该不是国内hw的吧,应该是国外攻击的 每年一次,心力憔悴…… and1=1 发表于 2020-12-17 11:43
这个应该不是国内hw的吧,应该是国外攻击的
嗯 只是窃密...... 但是是hw时抓的马 学习了,大佬太强了
膜拜大佬,学习学习!!! 膜拜大佬
页:
[1]