吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 4923|回复: 9
收起左侧

[PC样本分析] KimSuky组织一远控样本分析

[复制链接]
ZJevon 发表于 2020-12-25 20:17
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!

样本基本信息

MD5:ae986dd436082fb9a7fec397c8b6e717
SHA1:31a0168eb814b0d0753f88f6a766c04512b6ef03
SHA256:3110f00c1c48bbba24931042657a21c55e9a07d2ef315c2eae0a422234623194
image-20201224203049898.png

思维导图

image-20201225193828852.png

行为分析

image-20201224205008067.png 图标和名字伪装成ESET的升级程序,打开火绒剑设置过滤信息后,双击后弹窗提示升级成功,查看火绒剑捕获的动作信息

image-20201224205055495.png

火绒剑自动高亮了一个行为,这个是把C:\Users\Administrator\AppData\Roaming\目录下的程序加到开机启动项,前面的几步就是把释放的程序放到这个目录下

image-20201224205220083.png

详细分析

查壳

image.png
image.png
32位程序无壳,在Keygener中发现有Base64和CRC32怀疑程序内有一定的加密措施,拖到IDA中接着分析

导入表分析

通过分析导入表发现有网络连接和文件操作的相关函数,印证了前面火绒剑行为分析的结构,不过很奇怪为什么火绒剑没有监测到网络连接行为

image.png
image.png

函数分析

WinMain

image.png

sub_4011E0(LoadFunc)

进入函数后有一堆加密过的字符串和一堆GetProcAddress函数调用,猜测是动态加载某些函数,具体加载什么函数需要配合动态调试查看

image.png

通过在OD中的动态调试发现这个函数就是导入了三个DLL(WININET.dll, urlmon.dll, kernel32.dll)

image.png
image.png

前两个DLL 获取了网络相关函数

image.png
kernel32获取了CreateToolhelp32Snapshot和WinExec

sub_403600(CopyMyselfAndBox)

这个函数简单来说就是把自身复制到特定目录,然后设置注册表实现自启动,最后弹窗欺骗用户升级成功已被保护

image.png

sub_401580(GetNeInfo)

通过GetAdaptersInfo获取网卡相关信息

image.png

GetVolumeInformation获取c盘序列号

image.png

如果序列号获取失败就根据时间设置随机数

image.png

sub_401770(GetSysInfo)

获取操作系统的相关信息,然后标准Base64编码一下

image.png

image.png

sub_402790(SetDomain)

把C2服务器的域名信息放置到注册表项SOFTWARE\Microsoft\Windows\CurrentVersion\Screensavers\ScreenRibbonsDomain中

image.png

子线程分析

image.png

sub_402F30(HTTPRequest)

前半部分先构造HTTP请求包

image.png

后面利用先前动态加载的网络链接函数进行HTTP请求

image.png
image.png
因为C2服务器现在无法链接了我就手动修改执行流程让程序以为自己收到了返回包接着执行

image.png

后续就是从C2服务器接受数据,然后Base64解码传输的数据,在进行多字节到宽字节的转换

image.png

把传输过来的数据经过一系列的运算来到sub_401AA0函数

sub_401AA0

生成一个临时文件名

image.png

下面对此前从C2服务器接收到的数据通过“|”分割,依靠动物名字来下达指令,这里就到了样本的核心功能了远程控制

image.png

比如:指令名为tiger时执行cmd指令

image.png

指令名为monkey时,创建进程执行下载的程序

image.png

指令名为fox和cat时会比monkey多一些注册表操作

image.png

由于现在C2服务器已经连接不上了,其他一些的指令操作就不在详细分析,功能和我们一般见到的远控都差不多。

总结

这次样本分析总体来说比较常规,难度不算很大只要抓住主要执行脉络都能比较清晰的理解整个程序,样本第一次被发现应该是四五月份的时候,现在再进行分析加深了自己作为新手学习病毒分析的一些思路

参考链接

威胁情报

Kimsuky APT组织利用假冒的ESET安全软件更新程序进行恶意活动

免费评分

参与人数 4威望 +1 吾爱币 +23 热心值 +4 收起 理由
Hmily + 1 + 20 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
lemon__star + 1 + 1 我很赞同!
yangruiqi + 1 + 1 鼓励转贴优秀软件安全工具和文档!
qq63 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

张哥哥 发表于 2020-12-25 21:03
怎么没人回复这么好的技术贴
20000721yy 发表于 2020-12-26 10:16
深水夜藏 发表于 2020-12-26 12:25
cjc3528 发表于 2020-12-26 17:22
很棒的经验,谢谢分享
Gordon_c 发表于 2020-12-27 10:16
给力,分析的很细。
jayctu 发表于 2021-2-7 11:58
支持下 ,,,不错得帖子,,。,
中华吸血鬼 发表于 2021-3-18 19:48
感谢楼主的详细分享
Y0ng. 发表于 2021-5-5 14:32
有样本文件吗,想下载一个自己分析一下
 楼主| ZJevon 发表于 2021-5-5 17:01
Y0ng. 发表于 2021-5-5 14:32
有样本文件吗,想下载一个自己分析一下

https://s.threatbook.cn/report/file/3110f00c1c48bbba24931042657a21c55e9a07d2ef315c2eae0a422234623194/?sign=history&env=win7_sp1_enx86_office2013 可以在这里下载
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 09:20

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表