吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 6872|回复: 24
收起左侧

[PC样本分析] 警惕,后门病毒签署有效数字签名驱动对抗防病毒软件

  [复制链接]
ahov 发表于 2023-8-20 18:24
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
一、背景

近期捕获到一组后门病毒样本,使用pyinstaller打包,如下图所示:
IMG_2110.jpg

样本使用pyinstaller打包,解包后内部核心功能编译成app.cp38-win32.pyd,使用 UPX 压缩壳打包,如下图所示:
IMG_2111.jpg

经过分析研判,确认样本与鹰眼威胁情报中心金山毒霸安全团队于 2023 年 8 月 7 日发布的分析报告《黑产团伙利用SEM渠道投放CS远控木马》所属组织同源。

二、详细分析

以样本 fw1.exe 为例,我们粗略观察到样本存在以下行为:
1. 将自身复制到 AppData\Roaming\CleverSoar 目录内,并将其命名为 cleversoar.exe
2. 在 AppData\Roaming\CleverSoar 目录内释放 drv-loader.exe(驱动加载器) 与 kavservice.bin(驱动程序),由drv-loader.exe加载kavservice.bin
3. 样本运行后会对防病毒软件、任务管理器、注册表编辑器进行对抗(强制结束指定进程)
部分行为,如下图所示:
IMG_2112.jpg IMG_2081.jpg

由于本次样本的 app.cp38-win32.pyd 使用标准 UPX 压缩壳打包,而不是先前的 VMProject ThemIDA 等强壳,我们可以对其使用 UPX 官方的脱壳程序进行标准脱壳处理,如下图所示:
IMG_2106.jpg

我们将脱壳后的程序使用 WinHex 打开,可以发现样本会先将drv-loader.exe与kavservice.bin复制到同目录下,确认了上述行为,如下图所示:
IMG_2073.JPG

通过单独运行 drv-loader.exe,我们可以发现,drv-loader.exe 执行的行为就是将自身目录+"\kavservice.bin"组成的字符串写入注册表服务/驱动加载项kavService\ImagePath当中实现驱动加载,如下图所示:
IMG_2077.jpg IMG_2086.jpg

如此一来,样本将drv-loader.exe与kavservice.bin复制到同目录下,也就不难理解了。

通过查看驱动文件 kavservice.bin 的签名,确认其具有有效数字签名:"CleverSoar Electronic Technology Co., Ltd.",与鹰眼威胁情报中心金山毒霸安全团队发现样本的有效数字签名一致,如下图所示:
IMG_2082.jpg IMG_2083.jpg

继续查看 WinHex,可以发现多个“killEdr” “check_edr_processes” “is360TrayProcessAlive” “kill360SafeMonClass”等字符串,如下图所示:
IMG_2068.jpg

往下翻之后能看到样本针对的防病毒软件的一些信息,包含“qqpc” “zhudongfangyu” “avp”(卡巴斯基) “360” “hips” “anti malware” “anti - malware” “antimalware” “anti virus” “anti-virus” “anti-virus” “avast” “tray” “crowdstrike” “defender” 等多种防病毒软件相关字符串,如下图所示:
IMG_2067.JPG

继续往下翻之后,还能够看到样本针对任务管理器、注册表编辑器,如下图所示:
IMG_2107.jpg

我们将样本动态运行后搜索内存数据,以关键字“tray”和“avast”为例,又可以发现样本针对的防病毒软件进程的一些信息,如下图所示:
IMG_2095.JPG IMG_2113.jpg

有趣的是,当搜索关键字“360”后,样本出现了“[-] 检测到360托盘程序,正在尝试杀死” “[-] 无法杀死360托盘程序,该文件可能被上报,放弃中...” “[+] 成功杀死360托盘程序,转移并安装中” 等字符串,如下图所示:
IMG_2100.JPG

于是根据通过 “[-]” “[+]” 分别作为搜索字符串,又得到了以下结果:
IMG_2101.JPG IMG_2102.JPG

同时我们发现样本会在注册表HKCU Run项内添加自启动项,并且样本启动后便会第一时间加载驱动并阻止特定进程启动,如下图所示:
IMG_2089.JPG

我们又发现样本启动后存在尝试外链行为,如下图所示:
IMG_2087.jpg

于是对样本部分内存模块数据进行提取,在提取的两份字符串和dump中,均发现了检测ServUDaemon.exe、检测防病毒软件与防火墙、疑似剪切板记录、疑似获取 QQ 号、疑似键盘记录、连接C2(fw1[.]youjucan[.]com,该C2与鹰眼威胁情报中心金山毒霸安全团队分析的样本同属 *[.]youjucan[.]com 下),并发现了 “发现S-U” “在爆破” “在扫1433” “在抓鸡” 等字符串,符合后门病毒特征,部分字符串如下图所示:
IMG_2104.jpg IMG_2105.jpg IMG_2109.jpg IMG_2108.jpg

三、可能的同源性

以鹰眼威胁情报中心金山毒霸安全团队于 2023 年 8 月 7 日分析的样本为例,C2 为 xy1[.]youjucan[.]com,通过威胁情报平台的查询可以发现 2023 年 8 月 8 日该域名的解析指向 IP 143.92.53.167

同为 *[.]youjucan[.]com 的 sbdx2[.]youjucan[.]com 在 2023 年 8 月 14 日的解析指向 IP 38.55.185.94

对 IP 38.55.185.94 进行威胁情报查询,发现一个样本的pdb路径为“C:\Users\谷堕\Desktop\2022远程管理gfi\cangku\WinOsClientProject\Release-exe\上线模块.pdb”;另一个通信样本的pdb路径为“D:\劫持文件\shellcode过火绒测试\Release\shellcode过火绒测试.pdb”

同时对 IP 143.92.53.167 进行威胁情报查询后,发现多个 CobaltStrike 木马与其通信外,也发现了多个使用 pyinstaller 的恶意软件与其通信

四、Ioc

本文分析样本 (SHA-256):
fw1.exe d6dd58ef702737a3311ea62e11360072a1b5fa160d155f18392ae7d40a6f9848
drv-loader.exe ec9bcdd47b193031b4f1c7cc7365dd1bbc2ee96054f87e1d19d836d37970e076
kavservice.bin e055fdfb914e3da936eb7745acb665f50346df9abac597cf43d487262a6a12d5
app.cp38-win32.pyd 92dcbc0560ae173e4152613874ffea7b1b87fcab7f1bcd17e1b5384ca2643de4

与本文同批次行为相同样本 (SHA-256):
0b5c981a40e4ab59eb387570c2833934bbf4946b7a7c423bb311ce636c983f92
646a58e0047eedce5712a03e9509a41469f77053e2f85b97f0c7ada51af4b0f6
9850b0e361c9fe6ce302cc49bec17953f3a2a47d5051bfad294e56491382899a
b2eed5c10ba1adf77e246517de0b639b4fbf9c8e82e6dd99a7165dffe0fe28e1
e757ea36cd65ab057e8f5aed78f1894a139168b8e831be2679c39745c579529b

免费评分

参与人数 15吾爱币 +20 热心值 +13 收起 理由
Hmily + 7 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
hk9186 + 1 + 1 热心回复!
zyh109 + 1 + 1 谢谢@Thanks!
lingyun011 + 1 + 1 热心回复!
pojieit + 1 + 1 鼓励转贴优秀软件安全工具和文档!
zd53011 + 1 谢谢@Thanks!
清风浮云net + 1 + 1 谢谢@Thanks!
mmjqzf123 + 1 + 1 谢谢@Thanks!
meng6364 + 1 + 1 谢谢@Thanks!
23168 + 1 + 1 热心回复!
萌萌嗒的小白 + 1 + 1 谢谢@Thanks!
katelya + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
shiyezhiping + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
vqzhanshi + 1 热心回复!
keit532 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

cyxnzb 发表于 2023-8-20 20:08
搜了下这个谷堕,发现好像一直活跃
https://bbs.huorong.cn/thread-123888-1-1.html 这个是火绒前几个月的报道
一只大菜猫 发表于 2023-8-20 18:50
wasami 发表于 2023-8-20 20:02
wangjiuye 发表于 2023-8-20 23:03
愣是没看明白 小白学习
萌萌嗒的小白 发表于 2023-8-20 23:13
佩服大佬   想大佬学习
amwquhwqas128 发表于 2023-8-20 23:37
向大佬学习
wyp123 发表于 2023-8-20 23:59
Avast的驱动能强制关闭进程,这还是一个杀毒软件的驱动
ztgzs 发表于 2023-8-21 07:12
大佬牛啊,高端局
mmjqzf123 发表于 2023-8-21 08:12
谢谢作者分享 学习一下
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-28 07:50

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表