吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 5829|回复: 11
收起左侧

[PC样本分析] 一次恶意样本分析

  [复制链接]
一叶丶 发表于 2021-5-26 17:23
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 一叶丶 于 2021-5-27 17:26 编辑

梦开始的地方

该样本源于某ctf,目标是找到入侵者的key。
第一次尝试分析恶意样本,如有不足(错误),还请各位大佬们指出。

链接:https://pan.baidu.com/s/1MmOdh4c5ZxWWCOpd_68EsQ
提取码:6w4s

解压密码:52pojie

样本分析

样本基本信息如下。

image-20210507211635926.png

静态分析一下,发现该样本无壳、使用了ADLE-32校验算法、MD5加密以及ZLIB压缩算法。

image-20210518222754208.png

查看程序iat,发现包含大量敏感api。

image-20210507213510347.png

wsock32.dll中WSAStartup、send等实现进程间通信。

advapi32.dll中OpenProcess、AdjustTokenPrivileges等api提升权限,RegOpenKeyExA、RegSetValueExA等api更新注册表,CreateServiceA、StartService等api更新服务对象。

kernel32.dll中WriteProcessMemory、LoadLibrary、GetProcAddress、CreateMutexA等api

user32.dll中SetWindowsHookExA、mouse_event、keybd_event等api设置消息钩子。

URLMON.DLL中URLDownloadToFileA下载远程文件。

查看程序资源发现可疑数据,该资源大小并不大应该不是dll、exe等可执行文件。

资源信息

资源信息

根据收集到的信息,猜测程序可能包含的功能有:

创建互斥对象、创建全局钩子实现键盘监控、鼠标监控等、DLL注入、修改注册表(开机自启)、下载远程恶意文件、等待远程服务端连接等。

对程序进一步分析。

没有混淆可以直接分析,跟进sub_48df60。

解密资源映射至内存

解密资源映射至内存

经过分析,sub_48dde0将遍历整个资源数据,寻找DCDATA资源。sub_409b7c对加载的资源进行校验判断是否正确加载。sub_405864和sub_4616b4加载密钥key并对资源进行解密。

资源加载、解密

资源加载、解密

资源加载、解密2

资源加载、解密2

对于资源段的加密,可以发现是rc4罢了。

rc4加密

rc4加密

密钥(key)

key

key

密文即为该资源数据。

解密前资源数据

解密前资源数据

解密后可发现大量"有用信息",只因是ctf罢了。

解密后资源数据

解密后资源数据

解密后资源数据

解密后资源数据

KEY{9AE1BFA9-BA8B-D417-4A73-F33557D42781}

至此,对于题目要求的key我们已经找到。然而,对于程序的分析才刚刚开始。

<u>Tips:合理利用搜索引擎,搜索 Dark Comet or #KCMDDC51#-890 亦可发现一些有趣的信息。</u>

此处将KQeG7WAgDdFg.dcp内容映射至内存,若校验通过,则保存远程服务器信息 darkcomet.control.domain:1604

保存KQeG7WAgDdFg.dcp内容

保存KQeG7WAgDdFg.dcp内容

保存KQeG7WAgDdFg.dcp内容2

保存KQeG7WAgDdFg.dcp内容2

程序本地保存的域名信息 127.0.0.1:1604 ,此时将替换为经过解密后的域名信息,后续可能将对该域名进行访问(该域名已失效)。

保存解密域名信息

保存解密域名信息

后续的部分功能与上述类似,跳过该部分接着向下分析。

sub_45F5F8将自身映射到动态内存中,sub_45EB30在这里发现可疑字串 0123456789abcdeffedcba987654321 ,猜测可能含有md5、sha-1等hash算法,预估其功能(目的)是为了校验加载至内存的自身木马程序是否正确 。

md5校验

md5校验

特征码

特征码

优化一下函数名,可以看到经过第一个md5_check_self将自身映射至内存后,计算出了自身的md5值,应该是为了检验自身是否正常被加载、有无被魔改。经过第二个md5_check_self时已经校验过计算过,直接返回了。

check

check

check

check

计算出的md5值

计算出的md5值

这里计算出的md5值与分析样本前计算出的md5值相同。

Create_Reg函数将在当前用户目录下创建/打开Software目录,再创建/打开DC3_FEXEC文件夹并创建 时间-硬件配置文件信息序列号 键值对。

修改注册表

修改注册表

修改注册表2

修改注册表2

跟进查看可以发现sub_4218e4将打开/创建键值,sub_422008将给打开/创建的键赋值。

修改注册表3

修改注册表3

修改注册表4

修改注册表4

修改注册表5

修改注册表5

程序后面没有正常加载INSTALL、KEYNAME、CHANGEDATA、FAKEMSG、PDNS、FILEATTRIB等资源,导致部分功能无法正常执行,应该是作者为了不对选手计算机造成太大影响,对解密资源数据进行了一定程度的修改。

未正常加载的资源

未正常加载的资源

为正常加载的资源2

为正常加载的资源2

简述一下这些没有加载成功的资源所包含的功能。

  • 安装与 KQeG7WAgDdFg.dcp 内容相关的文件

  • 安装成功后修改程序属性、注册表(自启动等一系列功能)

修改注册表6

修改注册表6

  • 伪装正常程序的弹窗消息(MessageBoxA)

  • 修改DNS。更改系统目录下的域名解析文件内容,我的是 C:\Windows\System32\drivers\etc\hosts

  • 执行shell命令(ShellExecuteA打开了cmd)

  • 在当前用户temp目录下创建不明文件

  • 加载程序资源,创建dll文件

创建dll文件

创建dll文件

  • 进行dll注入,目标:notepad。

dll注入1

dll注入1

dll注入2

dll注入2

dll注入3

dll注入3

dll注入4

dll注入4

  • 设置组策略 HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System ,禁止用户打开任务管理器。

修改注册表7

修改注册表7

小结

样本大致功能为:

  • 创建互斥对象,
  • 资源加载、解密(直接映射至内存)
  • 根据解密的资源进一步破坏他人环境(修改注册表等)
  • 修改hosts文件
  • 访问远程服务器、下载/安装恶意文件
  • 创建恶意dll文件等,并更改文件属性
  • 将该dll注入notepad进程、设置开机自启。
  • 设置组策略禁止用户任务管理器

未被作者修改的版本程序会在temp和system目录下创建/下载一些恶意文件,此版本由于资源缺失已无法正常加载。

免费评分

参与人数 5威望 +2 吾爱币 +103 热心值 +5 收起 理由
HideMyEye + 1 谢谢@Thanks!
Hmily + 2 + 100 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
初七的果子狸 + 1 + 1 谢谢@Thanks!
Beebeeking + 1 + 1 用心讨论,共获提升!
舒默哦 + 1 + 1 热心回复!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

pplus 发表于 2021-5-27 16:12
学习了 ,,,,学习
Hmily 发表于 2021-6-29 10:54
分析挺详细,加优秀鼓励,期待更多精彩分析。
jsncy 发表于 2021-6-30 17:47
FlyingFire 发表于 2021-7-31 16:58
本想跟着做一遍,奈何经验不足,很多都看不懂。
HideMyEye 发表于 2021-8-17 10:17
很详细,学习了
wq2178 发表于 2021-8-17 10:25
只能说大佬NB
shanhai1 发表于 2021-9-23 14:22

只能说大佬NB
iyeoman 发表于 2021-9-24 23:58
学习学习再学习
54mj 发表于 2021-10-13 07:34
谢谢分享,大力支持
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-22 12:02

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表