吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 7793|回复: 76
收起左侧

[PC样本分析] 后门病毒伪装Word文档,利用钓鱼邮件传播

   关闭 [复制链接]
火绒安全实验室 发表于 2023-3-9 15:25
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 火绒安全实验室 于 2023-3-9 17:42 编辑

近期,火绒工程师发现针对国内企业投放病毒的威胁事件,经排查分析后,确认为后门病毒,主要通过钓鱼邮件进行传播,其会伪装成Word文档来诱导用户打开。


Image-0.png

伪装成word文档的病毒样本


当用户被诱导点击运行病毒后,黑客可通过C&C服务器下发各类指令来执行各种恶意功能,如:恶意代码注入、利用开机自启来进行持久化操作、获取系统进程信息等恶意功能。不仅如此,该病毒还会使用多种手段(控制流混淆、字符串混淆、API混淆)来躲避杀毒软件的查杀。

病毒的执行流程,如下图所示:


Image-3.png


病毒执行流程

对此,火绒安全提醒用户不要轻易点击来历不明的邮件附件,火绒安全产品可对该病毒进行拦截查杀。


Image-1.png

查杀图



                                       

  一、样本分析


混淆手段

该病毒启动后会率先执行一段shellcode,相关代码,如下图所示:


Image-4.png

执行shellcode



在shellcode中使用多种手段来对抗杀毒软件的查杀,如:控制流混淆、字符串混淆、API混淆等。控制流混淆,如下所示:


Image-5.png

控制流混淆





字符串混淆,每个字符串使用时,动态进行解密,并且每个字符串都有单独的解密函数,不同字符串解密函数对比,如下图所示:


Image-6.png

不同字符串解密函数对比





API混淆,在shellcode中会将用到的API地址加密并保存,使用时动态解密出来,如下所示:


Image-7.png

加密API地址


使用API之前会动态进行解密,利用位运算特性,每次解密的方法不同,但是结果一致,如下图所示:


Image-8.png


不同解密方式



恶意行为



获取本机的信息(用户名、计算机名、系统版本等)并发送给C&C服务器,如下图所示:


Image-9.png


发送上线包



黑客可通过C&C服务器下发命令来执行各种恶意功能如:执行任意CMD命令、下发任意恶意模块、进程注入、获取系统进程信息、持久化等恶意功能,以下进行分析。启动进程,该功能常被用于执行CMD命令,可执行C&C服务器下发的任意的恶意命令,相关代码,如下图所示:


Image-10.png


启动进程



该样本具备多种注入手段,一利用傀儡进程将恶意模块注入到其他进程中执行;二利用远程线程来在其他进程中执行恶意代码,傀儡进程注入,相关代码,如下图所示:


Image-11.png


傀儡进程注入



远程线程注入,相关代码,如下图所示:


Image-12.png

远程线程注入



获取系统进程信息,相关代码,如下图所示:

Image-13.png

获取系统进程信息



获取指定目录文件信息,相关代码,如下图所示:


Image-14.png

遍历目录文件



可通过添加服务来进行持久化,相关代码,如下图所示:


Image-15.png

持久化





二、附录



C&C


Image-16.png




HASH


Image-17.png

免费评分

参与人数 26吾爱币 +22 热心值 +23 收起 理由
pdxxyg + 1 + 1 我很赞同!
yilingluo + 1 我很赞同!
kalikali + 1 + 1 热心回复!一直在用火绒,上次出现问题,工程师非常耐心讲解,帮我分析病毒
池塘春草 + 1 鼓励转贴优秀软件安全工具和文档!
wt7 + 1 开始学习大佬
GYPYY + 1 + 1 用心讨论,共获提升!
Dislocation + 1 我很赞同!
timeni + 1 + 1 用心讨论,共获提升!
小栗子 + 1 谢谢@Thanks!
抱歉、 + 1 我很赞同!
北冥鱼 + 1 热心回复!
lammysoft + 1 + 1 热心回复!
L.KH + 1 + 1 热心回复!
Ctrl十C + 1 + 1 谢谢@Thanks!
E147852 + 2 + 2 谢谢@Thanks!
mp502195855 + 1 + 1 我很赞同!
ck6102 + 1 我很赞同!
t1191103798 + 1 + 1 我很赞同!
louischeung004 + 1 + 1 用心讨论,共获提升!
tianjianggouxia + 1 + 1 我很赞同!
weidechan + 1 + 1 用心讨论,共获提升!
萧然行者 + 1 + 1 我很赞同!
Bluesky10 + 1 + 1 热心回复!
rooike + 1 用心讨论,共获提升!
8247553719 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
poyourmumjie + 1 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

Jien 发表于 2023-3-9 20:32
火绒牛b  之前因为电脑出现点问题 在微博上私信了一下火绒 居然很耐心回复了,从此以后一直用的火绒,关键是个人用户还免费
alongzhenggang 发表于 2023-3-9 15:58
额  虽然但是  最近 还是被一个款姐方式给恶心到饿了

就是 压缩包里会有文件夹和一个图标快捷方式

解压后文件夹看不到  

栓双击会 安装有的没的   
还好 系统被拆的七零八落 那些也就没安装成功   
QQ9588 发表于 2023-3-9 15:25
lvchuanya 发表于 2023-3-9 15:44
楼主牛!!!!!!!!!!
hwb2018 发表于 2023-3-9 15:44
火绒加油吧
1217214393 发表于 2023-3-9 15:56
电脑电脑电脑电脑电脑
shangjianglong 发表于 2023-3-9 16:34
奇奇怪怪的知识又增长了
虚幻魔王 发表于 2023-3-9 16:42
幸亏不是WORD文件常见图标,吓死宝宝了
fyabcabc 发表于 2023-3-9 16:54
用阿里云的服务器?!
jiunuan 发表于 2023-3-9 16:59
牛啊牛啊
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-28 05:30

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表