好友
阅读权限20
听众
最后登录1970-1-1
|
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
概述小c忙活半天,总算把环境配好。前期准备完成,便可以着手进行样本分析了。样本可从app.any.run获取,使用邮箱免费注册后,便可以下载该沙箱的公开样本小c随便在该沙箱选择了一个样本,下载,准备开搞
动态行为在样本分析的过程中,首先通过虚拟机,沙箱等运行样本,看样本执行什么样的行为,再根据其行为去分析样本中代码,这样的方式有助于加快分析速度。本地虚拟机运行首先通过第一节搭建的分析环境运行样本(最好将虚拟机设置位断网状态),对于此类32位的样本,推荐使用SysTracer进行行为抓取。运行该程序,选择文件-》创建并跟踪信进程-》选择样本确定
运行后效果如图
可明显看到该样本在C:\Windows\System32\dllcheck 目录下创建了一个dllcheck.exe
再看看进程相关的行为
样本共创建了三个新进程,其中一个是把释放的dllcheck.exe执行起来,其余两个进程均以schtasks开始,小c作为第一次分析样本的小白,不懂啥这是啥意思,便想起大佬说的,遇事不懂,先问度娘
通过搜索引擎可知,该命令可将任何脚本、程序或文档设置在任何时间自动执行起来,恶意代码常通过此命令将自身设置到某个时间段运行,以达到在受害者计算机持久化运行的目的。在运行框(windows+r)入taskschd.msc,打开任务计划面板查看一下样本是否创建了计划了计划任务
通过面板可看到名为“COM Surrogate”的计划任务,在有任何用户登陆时,将会执行样释放的dllcheck.exe,与抓到行为命令一致。
通过本地沙箱,可看到样本以下信息1. 在C:\Windows\System32\dllcheck目录下释放dllcheck.exe2. 将释放的dllcheck.exe设置为计划任务,实现持久性
外部沙箱运行 这次选用微步在线沙箱(https://s.threatbook.cn/)运行样本试一下(在以后正式的工作中,最好别将公司安排分析的样本传到外部沙箱。)
通过微步云沙箱,可以直观的看到样本执行流程
再看看沙箱中详细的进程列表
可见其进程行为与本地虚拟机基本一致,但其比本地虚拟机多了网络行为
同时小c发现微步沙箱和anyrun沙箱均有一个QuasarRAT的标签。
再次通过度娘得知,QuasarRAT是远控木马的名称
总结通过本地虚拟机,外部沙箱监控到样本相关行为,现在可得出该木马相关信息如下 | 文件名 | Client-built.exe | Md5 | d059a264af31c72def4f1ae47898e422 | 样本家族 | QuasarRAT | 释放文件 | C:\Windows\System32\dllcheck\dllcheck.exe | 创建进程 | Dllcheck.exe, schtasks.exe | 持久化 | 创建计划任务在有用户登陆的情况下执行dllcheck.exe | 网络行为 | ip-api.com collinserver.ddns.net |
通过动态行为已经可得知样本所属家族 ,在实际静态分析恶意代码之前,可先通过查阅同家族样本相关报告,先熟悉该家族木马,再进行详细分析。下一节将结束详细的静态分析
|
-
免费评分
-
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
发表于 2020-4-12 22:29
|
发表于 2020-4-13 13:33
