吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 6101|回复: 14
上一主题 下一主题
收起左侧

[PC样本分析] 一款带混淆的下载者木马分析

[复制链接]
跳转到指定楼层
楼主
Joey_zh 发表于 2020-12-18 19:54 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!

说明

在我的上篇帖子中,有很多朋友说看不明白,我先说明下如果要逆向分析病毒(windows平台)需要的前置知识:

1.能看懂x86汇编代码,了解每个汇编代码的作用和寄存器的状态

2.了解PE结构,明白程序加载的过程

3.使用过反汇编工具,如IDA、OD、windbg等

4.了解win32API,不用详细了解,知道怎么查找MSDN,怎么用即可

最后,逆向是一个枯燥且急需耐心的过程,先从简单的程序再到病毒会更容易入门,希望大家看了我的贴能有所收获,大家一起进步!

0x0 初步分析

0x1.1 文件加壳状态

拖入 PEID 查看有没有加壳:

发现是无壳的,编程语言为VC8,于是分析行为
0x1.2 病毒行为分析
执行后先加载自身会用到的dll:

接着读取本机的语言环境

之后获取自身所在路径:

然后获取主机名称:

至此,病毒大致行为分析完毕。

0x1 病毒代码分析

0x1.1 第一层分析

将程序拖入IDA:
在导出表中找到start函数:

接着跳转到检测自身文件完整函数:

然后获取自身路径:

接着在OD中运行,发现运行到0x1101511程序跑飞,说明关键函数在此。

然而该程序使用了混淆器,有大量的无意义混淆代码,进行无意义的运算干扰分析:

图中有offset50参数的运算均为无意义代码,因此我们只需要找到关键函数即可。
进入函数发现新建了一个堆内存:

接着使用GetEnvironmentVariable获取环境变量到新建的内存中

然后获取系统目录存储在0x3cf1a4

找到VirtualProtect,在要改变属性的地址处下硬件执行断点。

运行到此处,程序停下,开始手动分析:

0x1.2 第二层分析

程序改变了如下内存所示的数据:

接着执行jmp:

第一次使用VirtualAlloc新建的内存,地址为0x180000:

接着开始填充新建内存的数据,然后执行:
发现此段shellcode的功能为加载函数:

接着第二次新建内存,内存地址为0x190000:

接着调用上一段新建shellcode的功能,更改新建内存的数据:

新建了第三次内存,地址为0x210000并且再次利用0x180000的shellcode改变内存:

接着释放了地址为0x190000的内存:

执行完以下函数后,210000的数据看起来像混淆过的PE文件:

接着执行了一个混淆函数和FLSfree:

然后改变了0x1804CF的属性:

接着进入函数call 0x1803A1,执行了LoadLibraryEX和GetProcAddress:


此处以后是在改变环境后分析,因此函数地址改变
接着执行了VirtualProtect,改变了0x6B0000、0x6B1000、0x6B4000、0x6B5000、0x6B6000、
0x6B7000、0x6B8000的属性
然后释放0x750000,即第三次新建的内存

0x1.3 第三层分析

0x6B1000属性为可执行可读取,不能写入,为代码段,因此在0x6B1000下硬件执行断点。

第一个函数为分配内存,内存位置为:0x34F8888:

然后使用memset,初始化内存为0
进入call E9234A

发现改变了数据0x3AF2F0的属性为可执行:

接着新建内存,并新建事件获取当前进程句柄:

找到关键函数:

继续深入分析,功能为获取恶意服务器上恶意软件的相关信息:

通过wsprintf打印出来

获取准备下载的木马的uptime:

将字符串qrodericky94.company放置于0x4198700


经检测,该域名为恶意远控木马服务器:


通过以上字符串可以了解程序在恶意远控木马服务器上下载了未知视频和图片文件,并保持和木马服务器的连接,至此,恶意程序分析完毕。

0x2 总结

经过分析,此样本为恶意代码,类型为:下载者木马。
样本通过大量混淆代码增加分析难度,同时将shellcode藏于非代码段,然后通过修改内存中数据的属性,设置为可执行代码。
通过shellcode将PE文件解密并释放出来,通过PE文件中的代码段,执行从qrodericky94.company下载恶意木马程序的功能。

0x3 分析心得

在分析病毒的过程中,由一开始的茫然失措,不知道如何下手,到现在的有自己的步骤去一步步分析,靠的就是自己的耐心和经验。
下面和大家分享下自己的分析心得:

1.当你不知道怎么分析的时候,先用火绒剑分析病毒的行为,获得病毒一些关键的行为,然后根据行为的特征下断点去分析关键点
如:当病毒打开CMD时,可以在CreateProcess(A/W)API处下断点。这样就要可以直接分析关键行为而不是浪费大量的时间去分析不重要的代码。

2.有几个关键API如果看到一定要仔细分析:
VirtualProtect:一般病毒会用这个改变自身的内存属性为可执行,让自己的shellcode变为可执行状态。接下来大概率会直接执行改变内存的shellcode,因此直接在改变内存的位置下硬件执行断点,然后运行程序会直接断在shellcode处。
VirtualAlloc:病毒使用该API新建一段堆内存,一般会将自身内含的加密后的PE文件或者shellcode解密后放入新建的内存,因此见到改API应该查看新建的内存,观察写入的内容是否为shellcode或为PE文件。

3.学着自己尝试编写病毒,这样当你分析时会认识一些病毒会使用的技术,能极大的增加分析的速度。

0x4 样本下载

样本hash:

CRC32:8A7D8A82
MD5:172817A62CBABBF9523D783346369AE8
SHA-1:BE4D9D258D2BBDDACEBEBDD4D004507EE02DA62C
样本: 样本.7z (284.16 KB, 下载次数: 44)


解压密码:52pojie
注意:请在虚拟机下调试分析样本!

38.png (12.46 KB, 下载次数: 1)

38.png

44.png (8.6 KB, 下载次数: 0)

44.png

免费评分

参与人数 8威望 +1 吾爱币 +40 热心值 +8 收起 理由
麻辣书生 + 1 + 1 热心回复!
Hmily + 1 + 20 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
宇称不守恒 + 1 热心回复!
WGR + 1 + 1 我很赞同!
夏520 + 1 + 1 我很赞同!
fengbolee + 1 + 1 用心讨论,共获提升!
Liserng + 1 谢谢@Thanks!
涛之雨 + 16 + 1 感谢发布原创分析,吾爱破解论坛因你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
shiguang95 发表于 2021-1-12 20:10
你好,楼主,我非常需要帮助。感觉很长一段时间电脑被远程监控,重新装过很多次系统依然如此,对生活造成非常大的影响,都要疯掉了。楼主可以帮帮我吗
沙发
xiaojiakeji 发表于 2020-12-18 22:53
3#
fangxiaoqi 发表于 2020-12-18 23:03
4#
okgjkk 发表于 2020-12-19 07:06
厉害了  以后可以自己分析一下
5#
龙神邪少 发表于 2020-12-19 08:13
很详细,很清晰,学到了,谢谢大佬
6#
sige1992 发表于 2020-12-19 08:56
教程贴,学习了
7#
mm0805 发表于 2020-12-19 09:23
必须支持 收藏了
8#
hinome 发表于 2020-12-19 10:20
感谢大佬讲解
9#
夏520 发表于 2020-12-19 20:29
感谢分享!!!
10#
ht4266394 发表于 2020-12-20 11:22
膜拜大佬,真的强
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 08:39

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表