吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 4502|回复: 11
上一主题 下一主题
收起左侧

[PC样本分析] 3601劫持病毒分析———对一个勒索病毒的底层行为分析

[复制链接]
跳转到指定楼层
楼主
TCP069 发表于 2022-1-4 10:18 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 TCP069 于 2022-1-4 10:38 编辑

文件信息
文件: C:\Users\15PB\Desktop\3601\3601.exe
大小: 24576 bytes
文件版本:7.02.2600.5512 (xpsp.080413-0852)
修改时间: 2015年9月29日, 13:10:48
MD5: B5752252B34A8AF470DB1830CC48504D
SHA1: AEC38ADD0AAC1BC59BFAAF1E43DBDAB10E13DB18
CRC32: 4EDB317F
使用virscan查询

使用PEID查看编译环境和有无壳:

看到是VC6.0的程序,且加了UPX压缩壳
使用UDX解壳:


脱壳后发现EXE体积变大了:
使用Resource分析资源:


发现资源里有个PE文件,看来是在资源中还携带了其他数据,
行为分析:
是用火绒剑分析行为:
        1.使用ARK工具查看可疑进程
        2.使用ARK工具查看启动项(注册表、计划任务等)
        3.使用ARK工具查看驱动、服务等可疑项
        4.使用ARK工具查看其他杂项
        5.使用抓包工具查看可疑流量在这个环节中,主要就是提取样本,尽可能手工清除掉危险。
        1.1 主要行为
为了使阅读更清晰,做了一个行为流程图

1.使用ARK工具查看可疑进程

   看到很熟悉的病毒图标,但是名字和位置却不一样了,说明有文件改变行为存在,分析下文件行为。
2.使用ARK工具查看文件修改
  发现文件的自我复制一个自己(nmxhia.exe)到Windows路径下,将程序运行起来后删除原来的自己(隐藏自己)

不断的在文件中释放lpk,释放完毕后隐藏起来,记住这个lpk后边要考

3.使用ARK工具查看启动项(注册表、计划任务等)
通过更改注册表键值让自己可以自启:




4.使用ARK工具查看驱动、服务等可疑项
服务,驱动模块,内核层,内核钩子,网络,中也是病毒可以利用的位置,在里边查看有无可疑信息,分别查看后未发现病毒信息,
5.使用ARK工具查看其他杂项
查看网络:
会向外发送一些数据包:
比如系统版本,内存大小等等


6.使用抓包工具查看可疑流量在这个环节中,主要就是提取样本,尽可能手工清除掉危险。
得知:
具体代码分析:
拖到IDA里边分析:
进来之后先出来的就是WINMain函数,
里边第一个函数就是一个网络初始化函数:下边是一个if判断,根据函数的返回值来判断,调用以下哪个内容:

进入判断函数,这个函数的功能就是在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services里边创建一个名为“Ghijkl Nopqrstu Wxy”的服务,并返回是否创建成功

这个判断分为系统是否创建完成,如果判断服务没有创建成功那么执行以下内容:
这个函数会先将自己拷贝在系统,并且给自己随机重命名

让后在系统路径下的程序创建一个服务,并启动服务

继续向下看,看到最后还有一个函数,点进去看一下:

这个函数就是设置优先级,然后删除之前的文件
也就是说如果进来时判断服务没有打开的话就:拷贝自己到系统目录,创建服务,启动服务,删除自身

如果已经服务已经创建的话就执行下面:
    将服务进程的主线程连接到服务控制管理器  ,参数是一个结构体的指针,其中有服务的名字和服务的回调函数:

这个函数则以服务的形式运行,进入回调函数进行分析:

这个以服务形式运行的函数中有三个函数,四个进程,分别进入分析:
第一个函数:遍历资源,将一个隐藏在资源中的PE文件转换成DLL,并写入特定的目录中

第二个函数:将自身病毒EXE,当成资源,添加进hra33.dll PE文件中(参数:上个函数得到的DLL名字(hra33.dll))

第三个函数:把从资源中获取的DLL加载进来

以上三个函数就是将原来资源中存在的DLL拷贝出来并加载;
继续分析下边四个线程:
第一个线程函数:
会初始化一堆字符串,根据下面获取主机名以及网络连接的函数,猜测是利用弱口令进行局域网感染。

首先获取主机的名字,获取主机的内存,用户名密码密码,使用IPC,局域网传播病毒

线程一函数是通过弱口令感染局域网其他主机, 当用户名和密码通过后,通过共享目录将病毒传播出去, 利用 at 计划任务, 直接 admin$共享。

继续分析第二个线程:连续再往下套了两个线程之后,找到关键函数,
链接远程服务器,获取系统信息,让后将数据发送到连接主机:

将本机系统数据发送到链接主机后,接受服务器命令:

1,当服务器远程命令为0x10时,就从相应的URL中下载程序并运行

2,当服务器远程命令为0x12时,关闭互斥体,关闭本程序,结束本进程,关闭套接字

结束服务

关闭套接字

3,当服务器远程命令为0x14时,打开IE浏览器,通过IE浏览器打开数据,

4,当服务器远程命令为0x2时,初始化Socket

5,当服务器远程命令为0x3时,发送GET请求数据包,

模仿浏览器的GET数据请求头,以Mozilla进行访问

6,当服务器远程命令为0x4时,依然是初始化Socket

至此线程二分析结束,它获取系统版本号,内存信息,cpu信息以及从电脑的上线时间发送给控制端,和通过消息类型执行不同的操作,大概猜测这是发送被感染电脑的信息给病毒作者,告诉病毒作者被感染的电脑已在线,可以发送消息来操控这台电脑了

查看第三个线程:发现三个线程和第二个里边基本一致,只是链接的服务器不同,变成了www.520123.xyz

至此前三个线程分析完毕

继续分析下边的死循环内的线程:

进去后发现还是和第二个线程相同,只是链接的url被加密了

看长度和后边的等号猜测是base64加密,解密后域名为:www.520123.xyz
hra33.dll的分析:
对其隐藏在资源中的hra33.dll进行分析,Dllmain函数中分析,获取模块名字后对hra33.dll进行加载,加载成功后同目录下将数据写入临时文件夹,并且加载lpk.dll到zip,rar文件,并且同目录创建exe。如果没有加载就释放dll文件。之后对ipk.dll文件进行加载。

10019e6添加lpk的函数中创建了两个线程,在线程回调中发现是正在递归遍历文件,如果遇到.exe文件就在同目录拷贝lpk.dll,如果有.rar或.zip文件,就用100142B函数进行感染。

感染rar或zip的函数是由rar和shell命令进行操作的,,先检查有无ipk.dll,如果没有,就以最大的速度解压文件,将lpk.dll添加到文件中,让后再重新压缩文件:

3.解决方案
3.1 提取病毒的特征,利用杀毒软件查杀
编写yara规则,结合clamav进行特征扫描






3.2 手工查杀步骤或是工具查杀步骤或是查杀思路等。
1.删除HKEY_LOCAL_MACHINE\system\CurrentControlset\services\Ghijkl Nopqrstu Wxy下注册表键
2.停止Ghijkl Nopqrstu Wxy的服务,删除服务并删除服务路径下的程序
3. 删除C:\windows\system32\hra33.dll文件
4. 删除生成的lpk.dll文件


免费评分

参与人数 6威望 +1 吾爱币 +24 热心值 +5 收起 理由
Hmily + 1 + 20 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
E147852 + 1 + 1 用心讨论,共获提升!
syndicate + 1 + 1 我很赞同!
sxg9739 + 1 + 1 我很赞同!
lonehsigle + 1 用心讨论,共获提升!
炫舞疯子 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
 楼主| TCP069 发表于 2022-1-4 13:52 |楼主
小朋友呢 发表于 2022-1-4 13:14
大佬这个流程图蛮清晰好看的,是用的什么软件画的

一个线上的网站 “processon"
推荐
chmod755 发表于 2022-1-4 17:42
楼主写的是对勒索病毒的分析,我看分析说的都是这个病毒扩散传播的,没看到分析里提到对文件的加密处理呀。
4#
小朋友呢 发表于 2022-1-4 13:14
大佬这个流程图蛮清晰好看的,是用的什么软件画的
5#
hiodis 发表于 2022-1-4 17:27
nice  学习学习
6#
咔c君 发表于 2022-1-4 22:05
学习了不错
7#
蓝纹鲸 发表于 2022-1-5 00:56
牛呀,学习了
8#
十三2020 发表于 2022-1-5 01:14
学习了,现在这类劫持病毒好恶心
9#
Jien 发表于 2022-1-5 08:41
大佬牛b   虽然不是很懂
10#
jyting 发表于 2022-1-5 09:20
学习学习
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 11:02

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表