吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 17451|回复: 35
收起左侧

[PC样本分析] Emotet 银行木马简析

  [复制链接]
hjm666 发表于 2020-1-2 15:38
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 hjm666 于 2020-1-2 15:47 编辑

简述样本行为:
       下载该样本的文件是一枚doc文件,在doc文件中写有恶意宏代码,会下载并运行emotet 木马,木马运行后会利用GetCommandLineA函数判断是否是第一次运行,不是第一次运行就利用CreateProcessw创建一个同名的子进程,同时利用lpCommandLine参数传递命令,让GetCommandLineA判断是否是第一次运行该样本,创建了子进程后随即退出主进程。子进程接收了命令后不再进行创建子进程,跳转入恶意代码处,子进程运行后会把自身数据进行复制并重新随机命名保存到系统文件夹内,并设置window系统服务进行持久化。重新命名后的样本启动后会继续创建子进程传递相关命令,子进程判断了传递命令正确后会跳入到核心代码处,会收集计算机的一些敏感信息如计算机名,计算机内的所有进程名等信息,进行des加密,发送到目标服务器中,并读取目标服务器中的数据信息。



doc文件:
Hash:1b602f921b641d7645c2ae2ada628560a053d5e4
大小:186kb

打开文件后
image.png
其搭载的宏代码
image.png
vt对其代码的检测
image.png

触发宏代码后,获取到最终执行的powershell命令,并对相关字符进行base64解码处理后,宏代码在4个链接中遍历下载重命名emotet木马运行,下载的PE文件经判别是emotet木马
image.png


emotet 简单分析
   
   样本核心代码是经过加密的用IDA只能到达核心代码的入口
image.png

解密完后进入核心代码
image.png
获取系统信息
image.png
获取路径
image.png
接收命令
image.png
对获取到的命令进行判别,如果正确就进入到核心代码不正确就创建子进程
image.png
创建子进程,传递命令,随后退出主线程
image.png

因为子线程执行了相关命令后也退出了,所以用模拟一个命令的方法进行调试这个“子进程”
image.png

一如前面的操作到判别是否是"子进程"后进入核心代码处。

连续创建了两个互斥体,第一个互斥体
image.png

第二个互斥体
image.png

利用CreateEventW函数打开创建的互斥体事件,随后利用SignalObjectAndWait函数进行发送信号通知一个对象然后作为单个操作等待另一个对象 进行消息捕获,


同时在用户文件夹Temp内创建tmp文件将自身数据复制作为副本
image.png
创建在Windows 目录下创建文件,将自身数据复制过去
image.png
为这个程序创建系统服务,做持久化
image.png

makerleel.exe
将数据复制重命名生成makerleel.exe文件,又设置window系统服务启动后,和之前行为一样,先判断创建子进程将命令导入执行,判断命令正确否后执行关键代码
image.png
以同样的办法模拟进入‘’子进程‘’后生成一个des秘钥
image.png
遍历进程信息进程存储
image.png
解密出回连ip进行构建请求头后将获取的相关敏感数据发送到目标ip
image.png
数据发送过去后,样本还将进行读取来自服务器的相关数据进行下一步行为,该ip目前或已被制裁,无数据回馈
image.png

至此完结

上传一份主体样本网络包,有兴趣分析的可以看看
链接: https://pan.baidu.com/s/1AmtAmksRHTqvFx0QuvTTMw 提取码: zzxy 复制这段内容后打开百度网盘手机App,操作更方便哦

免费评分

参与人数 10威望 +3 吾爱币 +21 热心值 +9 收起 理由
fei8255 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
伯麟 + 1 + 1 谢谢@Thanks!
kbit + 1 我很赞同!
17315044449 + 1 + 1 谢谢@Thanks!
静一静 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
sifeng + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
onlylonely + 1 + 1 感谢分享!
willJ + 3 + 12 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
zswseu + 1 + 1 我很赞同!
陈世界 + 1 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| hjm666 发表于 2021-10-29 18:06
TYLS123 发表于 2021-10-28 17:19
楼主你好,我想请教一下,命令行参数我也找到了,也使用了含参调试,但是程序依然跳入了子程序,并没有进入 ...

跟一下跳转,看看是什么函数导致的。帖子时间有点久了差不多忘记了。附加调试,手改指令都可以试试。
TYLS123 发表于 2021-11-9 23:15
hjm666 发表于 2021-10-29 18:06
跟一下跳转,看看是什么函数导致的。帖子时间有点久了差不多忘记了。附加调试,手改指令都可以试试。

好的好的,已经解决,谢谢楼主
 楼主| hjm666 发表于 2020-1-2 15:49
连续创建两个互斥体,进行消息捕获那有不懂是怎么回事,但进行捕获是我OD无法进行动态调试了直接跑飞,强行干掉后才获取到样本进一步的信息的
wszbzb 发表于 2020-1-2 18:34
字多,nb就对了
helloword121 发表于 2020-1-2 19:31
感谢分享
不知鱼kya 发表于 2020-1-2 20:50
谢谢楼主大大的分享
爱亿 发表于 2020-1-2 21:18
太强了,感谢分享
xiaojundeng 发表于 2020-1-2 21:40
学习了学习了
hxd97244 发表于 2020-1-2 21:53
技术贴,只能膜拜
kone153 发表于 2020-1-2 22:08
学习了学习了
lyghost 发表于 2020-1-2 23:52
分析的很详细
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-15 12:33

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表