吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 6712|回复: 12
收起左侧

[PC样本分析] 俄罗斯套娃式的.net样本分析

[复制链接]
1行 发表于 2020-6-28 16:57
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 1行 于 2020-6-28 19:09 编辑

前言

原来没有分析过.net的恶意程序,偶然发现了一个使用了Agent Tesla间谍软件生成的木马,看到有不少分析的文章了,就自己分析一下,记录一下分析过程。

描述

原始文件是由c#编写的,内部包含两个资源,一个是图片,另一个是DLL文件。程序运行时会先将DLL文件在内存中释放出来。然后在DLL文件中使用解密函数将图片中隐藏的文件解密出来。隐藏的文件会设置计划任务,并解密出来一个PE文件来执行窃密操作。

.net分析

静态查看

使用dnspy对.net文件进行调试,https://github.com/0xd4d/dnSpy/releases ,在这里进行下载。

dnspy左侧是一些程序集,右侧是程序集对应的代码

1592967126837.png

先静态看看有什么内容,发现有两个资源,一个是图片,另一个似乎是PE文件

1592969814605.png

关键函数应该是这里

1592967514861.png

原始文件调试

调试时可以在入口点停下,也可以下断点。

1592967232290.png

在此函数中将执行关键函数。

1592969687780.png

执行上述函数就会到达 PhotoDirector.dll 的函数中

1592969913105.png

解密DLL调试

使用自身的解密方式来进行解密操作

1592969975428.png

可以看到解密出来了一个PE文件

1592970068344.png

解密.net文件分析

将文件dump出来继续分析,将从恶意程序中解密出来的文件复制到指定目录中。

1592535022140.png

解密资源中的xml文件,并将其放入临时文件中

1592985323960.png

获取信息准备设置计划任务

1592535607919.png

获取schtasks.exe,设置计划任务

1592535780461.png

1592535820804.png

计划任务已设置

1592535952201.png

运行之后,系统就提示检测到恶意软件,然而感觉似乎没有运行啊,就猜想会不会有其他的地方又解密出来一个恶意程序。
暂时不晓得该怎样调试,就在所有的类中添加了类断点,运行之后原来在程序的入口点之前恶意文件就已经被解密了。不过这个方法是只能是在类较少的情况下使用,不然断点太多了好麻烦的。

1592547573290.png

PE文件分析

将程序dump下载进行分析,基本操作就是获取系统下载软件信息,窃取用户的各种账号密码,

1592555478430.png

获取发送信息的地址

1592556408203.png

拼接GET信息

1592556615557.png

密码字典爆破,用自设的用户名登录电脑

1592557001199.png

1592557076424.png

执行批处理文件,将恶意程序与自身删除

1592897138252.png

总结

看了几个不同的利用 Agent Tesla 间谍软件生成的木马,基本都是利用了图像来解密隐藏的恶意文件的,这个可能就是 Agent Tesla 的特征吧。。。

样本在这里(infected),不过这个样本还是很有意思的,像是个俄罗斯套娃。。

   512614d4683ffe32c440266c41ca1a5b0cc9949b78850d3c131c1da388c6003d.zip (147.58 KB, 下载次数: 36)

欢迎大家免费评分呀

免费评分

参与人数 4威望 +1 吾爱币 +23 热心值 +4 收起 理由
repobor + 1 + 1 我很赞同!
gqdsc + 1 + 1 支持下,虽然看不大明白
Hmily + 1 + 20 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
coolcalf + 1 + 1 虽然PE部分好久没碰,算是不明白,但是支持研究精神

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

康娜喵 发表于 2020-6-29 09:09
我记得以前有一个大佬教写易语言木马也是这个思路,也是通过一个进程来将其内部的图片资源改写成执行的木马。
小胜 发表于 2020-6-28 17:27
2733369 发表于 2020-6-28 18:26
hzqp 发表于 2020-6-28 18:42
学习了学习了
aSHwOLF 发表于 2020-6-28 21:14
虽然没看懂,不过觉得很高端的样子
拉玛西亚 发表于 2020-6-29 00:04
套娃可还行?
深爱我的女孩 发表于 2020-6-29 07:54
学习学习!
lifz888 发表于 2020-6-29 14:13
不错的分析,支持原创,支持分享
westlife73 发表于 2020-6-30 15:58
非常高端····谢谢分享···虽然我一字不识
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 09:18

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表