一、样本概述
样本“CHUAN PROJECT 1-22_pdf.exe”
为.net程序,伪装为境外阅读软件(俄文)。通过连续释放、解密、执行加密的各个木马文件,窃取用户的各种登录凭证与密码,通过邮件发送,并能够设置计划任务自启。
样本文件相关
| 释放文件 |
功能 |
| CHUAN PROJECT 1-22_pdf.exe |
伪装的木马 |
| WinRar.dll |
解压执行的中间文件 |
| B2B.dll |
环境检查、执行、注入 |
| CrZEdznRJeUvvUsgKRdjI.exe |
窃密程序 |
提取邮箱打码处理后
| 登录邮箱 |
*.origin@*.com |
| 邮箱key |
*Np0 |
| 登录的邮箱主机 |
*.smtp. *.com |
| 接收地址 |
*.origin@*.com |
| 发送地址 |
*.origin@*.com |
二、样本类型
样本类型为密码窃取。
三、详细分析
3.1 执行释放
释放WinRar.dll用于解压
解压B2B.dll所需的资源与key
解压并加载执行B2B.dll
B2B.dll
反调试检查
反病毒环境检查
解密文件 与 注入函数
设置计划任务
下载功能(未使用)
B2B.dll的部分功能
B2B.dll解密其资源v1pqmF2h,得到如下可执行文件
CrZEdznRJeUvvUsgKRdjI.exe反混淆处理
3.2 攻击细节
3.2.1 键盘记录
注册键盘钩子
键盘消息
键盘钩子回调
3.2.2 密码窃取
遍历Windows各类密码凭证的guid,读取对应key:
收集guid
收集的guid
遍历用户目录下的各类浏览器保存的密码凭证:
查找qq浏览器
遍历结果
上图:寻找“logins”凭证
上图:查询注册表寻找FTP凭证
上图:保存上述窃取的各类登录凭证
邮件发送
smtp协议发送邮件
解密对应邮箱地址和smtp协议key:
| 登录邮箱 |
*.origin\@*.com |
| 邮箱key |
*Np0 |
| 登录的邮箱主机 |
*.smtp. *.com |
| 接收地址 |
*.origin\@*.com |
| 发送地址 |
*.origin\@*.com |
打码处理
四、样本特征
4.1 文件hash
| Name |
Md5 |
| CHUAN PROJECT 1-22_pdf.exe |
cc9edea782c5b8713378e3f6d92cf0ab |
| WinRar.dll |
1ac41b03e64317c64c23c13f9a50857b |
| B2B.dll |
af3616a06c56f710cc67b3e66f9230f5 |
| CrZEdznRJeUvvUsgKRdjI.exe |
53467c50585fc99dcbf66790a5e635a8 |
| 
[复制链接]
发表于 2020-12-16 16:00
|
发表于 2020-12-17 17:48
