一款勒索木马的分析 By JoKKKkker
一、 文件信息:1825.eml大小: 4,852字节修改时间:2016年9月28日星期三, 14:03:48MD5: F97ADF7FD9815B29978C04FFF751F68FSHA1:BF1702E0CB307B2ECD1D4FFC31C46CE547F48DAACRC32: C5ADF397Docpage.js大小: 369字节修改时间: 2016年9月4日星期日, 06:30:55MD5:1561249E97E7CEF23F5570DB92725D97SHA1: FCD6FF3866FA9A9095755937E5ECD40C886FAEF6CRC32: 1F4A8DD3
下载文件:herty.exe大小:925,696字节文件版本:修改时间:2016年9月29日星期四, 19:40:45MD5:A6CD22776298A7B3E669FF2D879B10A5SHA1:5954E25D9B576C8D81C7C89EFDAEDFD969980163CRC32: 5FABDC55时间戳: 2016/9/6 0:23:13
释放文件:x.vbs大小: 114字节修改时间: 2016年9月29日星期四, 21:19:06MD5:66FFF0335493C6444AD7BCCF6842EC0BSHA1: 9BE0E7AE19D450554D31CF834FD4B110AEC09B99CRC32: F78D13E2
csrss.exe大小: 925,696字节修改时间:2016年9月29日星期四, 21:19:08MD5: A6CD22776298A7B3E669FF2D879B10A5 SHA1:5954E25D9B576C8D81C7C89EFDAEDFD969980163CRC32: 5FABDC55时间戳: 2016/9/6 0:23:13
state大小: 199字节修改时间:2016年10月8日星期六, 14:28:20MD5: 7FC570A4E37ABF8452C86385AF94AADCSHA1:8EED113E0E2911A2F8DBFD93A5B01C38D8C4D4FDCRC32: 772F5512
lock大小: 0字节修改时间:2016年10月8日星期四, 9:01:58MD5: D41D8CD98F00B204E9800998ECF8427ESHA1:DA39A3EE5E6B4B0D3255BFEF95601890AFD80709CRC32: 00000000
xfs大小: 936,470字节修改时间:2016年10月8日星期六, 15:08:38MD5: 6534B91DDC8FD1E1E119F7BF633F6257 SHA1:7817199D3DC1957A55B49B8AA051F990C1F652A9CRC32: D4006C7F
二、 网络连接特征(连接域名、端口、密码、或者IP及其对应的地理位置)IP地址:128.31.0.39:913186.59.21.38:80194.109.206.212:8082.94.251.203:80131.188.40.189:80193.23.244.244:80208.83.223.34:443171.25.193.9:443154.35.32.5:80
解密前公钥密码:-----BEGINPUBLIC KEY-----MIIBojANBgkqhkiG9w0BAQEFAAOCAY8AMIIBigKCAYEAu1nEgF8haqpQ0FRbckh72RHocXoe8PPm1sOwHfHvukSpTnM/QCF/N9p+oOzVeAniROd28V6oxX+8S6dnLjqZAt2pdpcpy/3G2PJv2ifM1nLz/3vlM9kO+ZuoEuMrj1i5ThQXHMDmy8xo9G9hIz22/PgHLzjAo2aN/YAs+a/esjOMaXQljqNuQP1bXPsh64TbkN0VFHDob6DfemxaeYuyOC+a/FfRAClV82zKBRiO+FuKP8yeJvhE4bTDTMknVQknO6DShrkpp93hSk5LvDJJXm8aB8Ad9QeXktjxnCg/Svu8OXPIFHJS3NophoOfioh7Hzonog0GULbIFpQ4DqQPit0aikRheylxkUWkiBscvJ5mCENEIPnoQ8ycS9naU9MdDu50fiQ9d+KPfLigPH8K6hQHvhD5AChC9WJK+LXp5jJ6C2BpOLCadiJ/RFojD0tKkmfFIHkpXa3ai2lqciGL2KELRJKIjUm9pseu5eO0q31nHXSQjtJD7pV7YCtYo5IHAgMBAAE=-----ENDPUBLIC KEY-----
解密后公钥密码:-----BEGINPUBLIC KEY-----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-----ENDPUBLIC KEY-----
端口:443端口、80端口、9101端口、9090端口
三、 具体功能Docpage.js1.存放在OutLook邮箱邮件附件的压缩包内,2.点击运行,调用PowerShell程序执行下载功能,下载指定url资源url = http://kosmosae.gr/herty.exe。herty.exe1. 调用cmd.exe程序执行脚本语言,创建文件"C:\Documentsand Settings\Administrator\「开始」菜单\程序\启动\x.vbs",用于开机后自动启动木马程序。2. 遍历进程,查找进程是否存在VboxService.exe、vmtoolsd.exe,用于检测是否在虚拟机环境下运行;如果不存在则继续执行,如果存在则在内存中存储后继续执行。3. 创建木马子进程,在木马子进程中,创建隐藏文件夹"C:\Documents and Settings\All Users\ApplicationData\Windows",并在该文件夹下创建文件"C:\Documents and Settings\AllUsers\Application Data\Windows\csrss.exe"。4. 创建注册表键 "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ClientServer Runtime Subsystem"设键值值为"STRING="C:\Documents and Settings\AllUsers\Application Data\Windows\csrss.exe",用于开机自动启动木马服务。5. 生成解密前公钥密码,创建文件README1、README2、README3、README4、README5、README6、README7、README8、README9、README10于"C:\ "路径下。6. 遍历系统磁盘指定文件类型的文件,解密公钥密码,使用公钥进行文件加密,修改文件类型为DA_VINCI_CODE文件,将文件名进行加密处理,并内存写入加密文件源文件信息,创建隐藏文件夹"C:\Documentsand Settings\Administrator\All Users\Application Data\System32",并创建隐藏系统文件"C:\Documentsand Settings\Administrator\All Users\Application Data\System32\xfs"写入加密文件的源文件信息,用于文件解密。7. 创建文件"C:\Documents andSettings\Administrator\Administrator\Local Settings\Temp\state"与"C:\Documentsand Settings\Administrator\Administrator\Local Settings\Temp\lock",state文件存储Tor version信息。8. 创建文件README1、README2、README3、README4、README5、README6、README7、README8、README9、README10、README1、README2、README3、README4、README5、README6、README7、README8、README9、README10于herty.exe所在路径下,并修改背景桌面。9.启动服务功能,随机向指定IP地址发送TCP连接请求,建立连接后发送state、xfs文件(该功能因未联网,连接请求显示失败)。
总结:此样本脚本存放在普通商务邮件的附件压缩包内,欺骗邮件接收者主动打开压缩包运行脚本;样本脚本下载的木马程序修改为PDF文件图标,欺骗邮件接收者主动运行木马程序;所有常量均采用加密存放;主要函数先从DLL模块中载入后再执行;遍历进程列表,检测虚拟机进程,但无反虚拟机功能;遍历系统磁盘,使用公钥加密指定文件类型文件;建立TCP连接,发送相关主机信息;最后留下联系信息,最终实现勒索功能。
四、 代码细节
欺骗邮件及附件
木马图标
样本脚本代码
启动脚本代码
IP地址、端口信息
state文件
加密文件类型
TCP请求
加密后电脑界面
加密后文件
xfs文件
README.txt文件 JoKKkkker_lmxx 发表于 2016-12-29 20:29
黑米粒大大别生气,第一次发帖,还不太会~已经搞定了~
哪里生气了,可能我问你让你错觉了{:1_908:},我是想要是你是word里弄的,就直接传word我给你编辑好了,现在挺好哈,样本方便的话也加个压缩密码上传吧,方便大家学习。 这是一个我初学木马分析时写的报告,里面没有关于木马功能反汇编代码的截图,这是个很大的问题,已经过了几个月了,我也懒得修改了,虽然没法深入了解,但是用于简单的了解勒索木马功能实现还是有一定帮助的,希望大家凑合着看~ @JoKKkkker_lmxx 图片不能直接粘贴,需要上传后才能贴到论坛里,现在都图片都无法显示。 Hmily 发表于 2016-12-29 17:24
@JoKKkkker_lmxx 图片不能直接粘贴,需要上传后才能贴到论坛里,现在都图片都无法显示。
我重新再发一遍 JoKKkkker_lmxx 发表于 2016-12-29 18:01
我重新再发一遍
直接编辑帖子把图片上传就可以了。 Hmily 发表于 2016-12-29 18:02
直接编辑帖子把图片上传就可以了。
已修改~求推荐~求申精~ JoKKkkker_lmxx 发表于 2016-12-29 18:15
已修改~求推荐~求申精~
图片贴到帖子里会吗?你这是从word你复制过来的? Hmily 发表于 2016-12-29 18:37
图片贴到帖子里会吗?你这是从word你复制过来的?
黑米粒大大别生气,第一次发帖,还不太会~已经搞定了~ Hmily 发表于 2016-12-30 10:31
哪里生气了,可能我问你让你错觉了,我是想要是你是word里弄的,就直接传word我给你编辑好了, ...
嗯呢,大大给个推荐吧,没人来看来评论呢{:1_906:}