吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 10536|回复: 58
收起左侧

[PC样本分析] 简析"千层饼"式伪装方式的病毒

  [复制链接]
1行 发表于 2020-9-16 10:17
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 1行 于 2020-9-16 10:19 编辑

[TOC]

前言

有天看到一个分析Dridex银行木马的报告,想到自己对银行木马没什么了解,所以就从any.run上根据Dridex标签下载了一个样本来分析,结果分析到最后发现是一个Phobos勒索病毒,不过这个变种的伪装还是有分析价值的。

流程

利用CVE-2017-11882漏洞,在Excel文件打开时下载第一层恶意样本,第一层样本从资源段释放第二层恶意DLL,第二层恶意DLL利用第一层样本中的图片资源,异或解压缩提取出最终勒索病毒。

详细分析

恶意程序利用CVE-2017-11882漏洞下载主体文件
下载恶意程序

6291988c-4a62-459f-b47d-4e9673d6b9f0.png

但是网站已经挂了

5bea39f6-d47f-456d-9421-b8105ac3f365.png

不过从any.run上下载了一个包含下载的恶意文件的pacp包,用NetworkMiner_2-5把其中的恶意文件提取出来。

ebd1a458-1f31-4b9d-9073-019b16ee6b77.png

下载文件的版本信息,看着没撒事情,

c2d6b65c-0147-461a-8c08-19b8fd3514a8.png

发现是一个.net框架的恶意程序

41fdafad-3e27-4c9f-b48f-c73420e9e1a4.png

打开发现是被混淆过的,

844b38e6-255c-4a70-b0e9-c5ee746be07a.png

使用DotNet Id查看到了恶意程序使用.Net Reactor混淆

f81c12a9-1000-4f16-a1ec-19a00c444b30.png

从GitHub上下载了de4dot3.1,然后发现怎么试都不行,

9f608d76-ba63-4f15-93c3-2dc7388c69f6.png
后来又下载了一个别人改编之后的 de4dot 然后才把混淆解开

0d9a9eda-7e01-4fd3-a79b-05e41a890819.png

再次打开恶意程序,基本上混淆已经没有了

3fc1c167-9eda-477c-8c9f-4337ab88de6f.png

第一层文件

先看看文件有撒资源,发现了一个图片资源,很多恶意程序都会利用图片来保存恶意文件的二进制信息,

dd991184-0ca2-4d25-beee-be11f9dd968f.jpg

从 Main 函数开始调试

5a30732c-c57a-4bb3-ab93-e46dcb3ce86a.png

base64解密资源段中的数据,加载 AndroidStudio.dll 到内存中,

db204ea2-3001-41a9-be0a-074ec759a234.png

第二层文件 AndroidStudio.dll

在内存中将恶意的动态链接库解析出来,上面的是有混淆的,下面的是去除了混淆了,两个结合起来调试分析

7d664ccc-c137-435b-a2e5-f51f4b317006.png

调用了恶意程序 AndroidStudio.dll 的导出函数 StartGame,

ca844662-2534-447d-80e0-aa6552cf020e.png

7c1eab47-2dbf-40a5-aafa-d24bddd10545.png

先sleep一会,然后获取第一层文件中的图片资源,

5ea68090-d9d1-4757-ab1f-d1f6fe63aee5.png

对图片资源进行解密

ae51937b-d19a-4be8-9f26-24a509bbcdf2.png

对数据进行异或,

2ea82873-73a1-4b9e-a9e2-12ae1606e475.png

异或之后的二进制数据

64d97354-db94-463a-81e9-950b2d5adacb.png

最后对数据进行解压缩

35d17993-a4bd-4bea-a5e0-549c766fe699.png

解压缩出第三层文件,

ab04b96b-0e77-4bd4-81f2-79eb4de55ef9.png

第三层文件 Phobos勒索病毒

第三层文件还是.net框架的

c1cdf3bd-ae2d-4b57-9735-6f92b5aa5b6e.png

还是有混淆,将其去除混淆进行分析

410d2e23-edd8-46d2-b8da-38cd2e621566.png

直接开始调试,在程序入口点之前对一些数据进行操作

3670f100-8eaf-4de7-ae8e-77a07032287e.png

发现还会解密出来一个.net框架的文件,暂时先放放,一会再看他

30ee3f13-56ed-4f08-8a87-ec0d486c336e.png

使用WriteProcessMemory来将刚解密出来的文件加载到内存中,

a28e4238-13b6-40ec-8ba4-6ba8afafc809.png

会运行一个powershell进程,来删除文件

e77bfa7d-ddd6-4040-be1f-fe7d949bb964.png

2e0b72fc-9eb5-4ccd-957b-d74eb7a0083a.png

然后,可以在火绒剑上看到一直重复执行解密出来的第3层文件,然而一直不加密我的文件,不过勒索文件没撒意思,有意思的是这个样本的伪装方式。

总结

这个“千层饼”的伪装方式,还是有些意思的,从攻击者的视角来看,恶意的文件不落地,直接在内存中隐蔽执行了。

样本MD5:  [size=0.9]34CA23D3E1A47C147D913CC813EAA4C3     https://app.any.run/tasks/fd30617d-8ed6-4906-b5e1-7e321597a42b/

免费评分

参与人数 20威望 +1 吾爱币 +38 热心值 +16 收起 理由
153657228401 + 1 + 1 用心讨论,共获提升!
sailiss + 1 + 1 我很赞同!
Hmily + 1 + 20 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
ymz6275 + 1 + 1 我很赞同!
邱淑贞 + 1 + 1 热心回复!
Fuung + 1 + 1 热心回复!
Determinasc + 1 我很赞同!
chaopi + 1 29楼请教
i66235 + 1 + 1 热心回复!
woyucheng + 1 + 1 谢谢@Thanks!
Bizhi-1024 + 1 谢谢@Thanks!
炽烁 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
moneyandgb + 1 + 1 用心讨论,共获提升!
99910369 + 1 + 1 用心讨论,共获提升!
没事路过 + 1 + 1 谢谢@Thanks!
血纹21 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
马云爱逛京东 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
cush + 1 + 1 热心回复!
dzc999 + 1 + 1 谢谢@Thanks!
17877087703 + 1 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| 1行 发表于 2020-9-17 09:22
Alex27933 发表于 2020-9-17 08:13
提醒一下,吾爱的md编辑不支持toc目录

目录在个人信息下面

哈哈,前几次发就晓得了,在本地写的,发上来也懒得改了,
 楼主| 1行 发表于 2020-9-17 20:43
chaopi 发表于 2020-9-17 08:33
厉害,顺便请教楼主:.NET加密目前有没有不能被反混淆的混淆方法呢?

网上一搜就有,新版本的一般就不会被混淆了
17877087703 发表于 2020-9-16 10:23
国际豆哥 发表于 2020-9-16 10:26
牛批,讲的好
shenweiraul 发表于 2020-9-16 10:28
学习了~~~谢谢
油炸煤气罐 发表于 2020-9-16 10:30
这种思路还是有点意思
kabengqi 发表于 2020-9-16 10:33
虽然不会逆向,但是不影响我看得过瘾
a910673331 发表于 2020-9-16 10:45
思路清晰 学到了
bobo_008 发表于 2020-9-16 10:48
学习了~~~
Latteitc 发表于 2020-9-16 10:48
厉害,感谢分享
carion 发表于 2020-9-16 11:19
厉害,感谢分享
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 09:59

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表