吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 12462|回复: 27
收起左侧

[PC样本分析] .net分析--Pony邮件窃密木马

  [复制链接]
659525 发表于 2019-12-3 18:16
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 659525 于 2019-12-5 10:31 编辑
0x0 前言

Pony Fareit木马.net分析--通过STMP协议的.net样本挺多的,写下来当样本记录下

0x1 样本信息(截图自Virus total)

样本信息

样本信息

0x2 分析过程

1.第一段解密:对资源字符串进行异或解密,解密方式为每个双字减去0x58D1(22737)然后与0x8E异或

第一段解密异或

第一段解密异或

2.第二段解密:将异或获得的XorCode进行Base64解码,得到一个PE文件(dump1,也是.net)

第二段解密Base64

第二段解密Base64

解密出dump1

解密出dump1

3.dump1内有检测虚拟机的函数IsVM(但是并未执行这一函数体,我们待会进去仔细分析一下)

检测虚拟机

检测虚拟机

4.异或解密资源,并加载其运行(异或Key为:CnajNowpjKsL)。由此可以发现dump1依旧是一个外壳程序,解密出真正的病毒本体(dump2,也是.net)

dump2的Key

dump2的Key

PE1解密出PE2.png

5.dump2开始干活,先是常规三连:拷贝,隐藏,自启动

自我拷贝

自我拷贝

隐藏

隐藏

长久驻留

长久驻留

6.进入木马的特色部分:窃取各个浏览器Cookie,以及mail的内容等等

UC-Cookie

UC-Cookie

Claws-mail

Claws-mail

7.将获取的Cookie打包成zip,绑定STMP邮箱后发送(zip在发送成功后会删除,从而清理痕迹)

STMP邮箱绑定发送

STMP邮箱绑定发送

0x3 总结

1..net调试一般选择从入口点开始调试,在调试之前最好在静态分析,找到关键处代码(不然跟不进去)

2.dump2是一个常见的通过STMP窃密的邮件木马,这里我参考了前辈的分析:https://blog.csdn.net/chr8230401/article/details/100664775

3.dump1其实有反虚拟机检测,但是作者并未开启,我们又想进去一探究竟,怎么办呢,只能强改跳转看了(dnSpy的使用感不太好):

先尝试右键改下逻辑跳转,发现只能改到当前的那一行(改了也无效,想直接改到函数内部也不行,不知道啥原理)

.net调试修改1

.net调试修改1

然后只能强行改内存了,这种方法也不太友好(只对当前调试程序一次有效,重新F5都要重新改):

先右键->查看到反汇编,然后通过汇编定位(Crtl+F搜索函数名快速定位)到关键跳转,内存窗口中crtl+G跳转至该地址,查找对应OPCode修改即可(比如这里是0x74 je->0x75 jne).

.net调试修改2

.net调试修改2

反虚拟机的操作基本上是查询注册表来比对返回值有无vmware之类的关键字符串

附:第一次发帖,找不到预览按钮;md格式上传的图都挂了要重新贴,有没有铁子教一教小伙

样本.rar

351.53 KB, 下载次数: 33, 下载积分: 吾爱币 -1 CB

病毒样本

免费评分

参与人数 12威望 +1 吾爱币 +18 热心值 +12 收起 理由
orega + 1 + 1 我很赞同!
cush + 1 + 1 热心回复!
NanKeYM + 1 + 1 用心讨论,共获提升!
陈世界 + 1 + 1 我很赞同!
iNIC + 1 + 1 热心回复!
0xFF + 1 + 1 牛逼
VicZ + 1 + 1 感谢大佬分享
温柔的一哥 + 1 + 1 热心回复!
Yinch880 + 1 + 1 热心回复!
三胖胖胖 + 1 + 1 用心讨论,共获提升!
jy04468108 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
Hmily + 1 + 7 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

Hmily 发表于 2019-12-3 18:39
Discuz模式下发帖页直接就是预览了,没有单独的预览功能,MD的图片用论坛自带的图片上传功能上传,然后再贴到正文中就行了,演示看这里https://www.52pojie.cn/misc.php? ... 29&messageid=36

免费评分

参与人数 1吾爱币 +1 热心值 +1 收起 理由
killer1 + 1 + 1 我很赞同!

查看全部评分

Devil太初 发表于 2019-12-3 21:06
cokcokkkk 发表于 2019-12-4 02:43
wanghongbin 发表于 2019-12-4 07:58
我来学习一下
sanityko 发表于 2019-12-4 08:27
看着感觉好深奥,你们是研究了多少年了啊,佩服
13697i 发表于 2019-12-4 08:37
楼主太厉害了!!!
yi辈子的诚若 发表于 2019-12-4 09:35
看到大佬回复这贴必精华
 楼主| 659525 发表于 2019-12-4 11:04
Hmily 发表于 2019-12-3 18:39
Discuz模式下发帖页直接就是预览了,没有单独的预览功能,MD的图片用论坛自带的图片上传功能上传,然后再贴 ...

谢谢了,发帖说明一开始有看的,帮助挺大
chmod755 发表于 2019-12-4 11:05
楼主有样本吗?想跟着分析分析学习一下。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 09:43

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表