吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 3825|回复: 22
收起左侧

[PC样本分析] "成熟后门"再度投递,银狐变种利用MSI实行远控

   关闭 [复制链接]
火绒安全实验室 发表于 2024-6-12 15:00
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 火绒安全实验室 于 2024-6-12 11:35 编辑

近期,火绒威胁情报中心监测到一伪装成MSI安装包的恶意木马正在传播,火绒安全工程师第一时间提取样本进行分析。分析中发现样本在双击执行后会启动数个cmd进程执行释放的木马,该木马不断从远端服务器上下载后续阶段所需的恶意组件,并在多层文件跳转和解密生成远控模块实现对受害者机器的完全控制。经溯源对比,确认其为“银狐”系列变种木马。目前火绒安全产品可对上述病毒进行拦截查杀,请广大用户及时更新病毒库以提高防御能力。
Image-0.png
火绒查杀图

样本执行流程图如下所示:
Image-1.png
执行流程图

在此,火绒工程师提醒大家对来历不明的文件应保持警惕,同时安装可靠的安全软件保护设备免受恶意软件和病毒的侵害。目前,火绒6.0已上线公测,针对用户的真实应用环境,升级反病毒引擎等核心技术,推出9大硬核功能,可有效解决无文件攻击、系统进程保护、流氓软件等诸多安全问题,为“杀、防、管、控”增强壁垒。欢迎大家前往火绒官方网站下载体验。

一、样本分析

第一阶段:

通过Orca查看Win-PC_Install.uu92.11.msi文件内信息,在FileTable中可以查看.cab包含的文件,是一个名称为"1"的文件,从字节码可以看出该文件为少了"MZ"头的PE文件:
Image-2.png
FileTable信息
Image-3.png
字节码展示

接着在BinaryTable中查看其引导脚本,该脚本以VBScript编写,通过将MZ头写入C:\uun.txt并拼接到前面释放文件"1"的方式补全文件,随后在循环中用cmd不断执行生成的tttssx.exe
Image-4.png
BinaryTable信息
Image-5.png
VBS脚本
Image-6.png
拼接文件创建
Image-7.png
tttssx.exe生成

补全后的PE文件信息如下图所示,其字节码末尾是拼接时写入的当前时间:
Image-8.png
文件信息
Image-9.png
时间写入

第二阶段:

进入tttss1.exe中分析,其最初先通过不断跳转和耗时循环干扰分析,随后把要执行的代码全部复制到新开辟的空间中跳转执行:
Image-10.png
混淆代码

再通过2次SMC解密出关键操作代码:
Image-11.png
SMC解密代码

操作代码过程中,解密出的操作代码会先解密出配置文件 c.dat 的 url 用于下载,接着会进行解密操作,最后根据文件开头字节内容是否为 "9a8" 区分 Payload 类型,这里只根据分析时获取的内容讨论第一种情况:
Image-12.png
解密配置文件URL
Image-13.png
解密后的c.dat文件内容

接着样本定位C:\Users\Public\Videos目录并生成随机文件名,用于下载配置中的url对应的相关文件
Image-14.png
文件下载
Image-15.png
文件列表

最后通过ShellExecuteExA以管理员身份开启执行:
Image-16.png
运行程序

第三阶段:

执行的eufRk5.exe是一个加载程序,其主要作用就是通过加载同目录下的mscoree.dll,获取并执行其唯一的导出函数CLRCreateInstance:
Image-17.png
加载mscoree.dll

函数读取并定位eufRk5.exe中的加密数据将加密数据解密成shellcode以供执行:
Image-18.png
解密shellcode

dump出解密的shellcode进行分析:解密的shellcode会读取同目录下的ffff.pol文件,解密ffff.pol文件头dll,用于内存加载执行:
Image-19.png
解密文件头
Image-20.png
完整文件头展示

ffff.pol解密而成的dll并没有导出函数,dll主要操作都在DllMain函数中,创建的互斥体如下所示:
Image-21.png
互斥体创建

其中,开启的线程会执行包括关闭UAC检测360等在内的操作:
Image-22.png
关闭UAC
Image-23.png
发送窗口关闭消息

接着ffff.pol解密而成的dll还会把自身目录下的文件重新复制一份到"C:\Users\Public\Videos"目录下新建立的随机文件夹中,用以创建计划任务:
Image-24.png
文件复制
Image-25.png
创建计划任务

最后,由ffff.pol解密而成的dll会打开同目录下的ffff.lop文件,继续将ffff.lop解密成dll,并执行唯一的导出函数Edge:
Image-26.png
执行导出函数

第四阶段:

根据导出信息显示,ffff.lop解密而成"rundll32.dat"有一个导出函数Edge:
Image-27.png
导出信息

该导出函数为专门的后门模块,该后门模块会检测相关文件的创建时间等信息用于识别该后门在该主机上建立的时间。并且在执行过程中还会检测已存在的窗口的标题,遇到逆向分析工具或其它检测工具时会终止运行:
Image-28.png
检查文件信息

该后门模块会根据多个标志位执行不同的操作包括禁用"Microsoft Defender":
Image-29.png
禁用"Microsoft Defender"

键盘记录:
Image-30.png
键盘记录

连接C2实现远程控制等:
Image-31.png
连接C2

经对比分析,发现该模块执行逻辑与今年3月份火绒安全实验室发布的《成熟后门在野外“泛滥”,加载Rootkit对抗杀软》文章中提到的后门模块逻辑相同,具体细节可查看往日分析报告(https://www.52pojie.cn/thread-1903610-1-1.html):
Image-32.png
相似度分析

附录

C&C:

Image-33.png

HASH:

Image-34.png

免费评分

参与人数 8吾爱币 +7 热心值 +5 收起 理由
zhangy1219 + 1 + 1 谢谢@Thanks!
抱歉、 + 1 用心讨论,共获提升!
dmxayjn + 1 + 1 我很赞同!
xiawenqiwa + 1 + 1 热心回复!
chenkeai深蓝 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
pousse + 1 谢谢@Thanks!
Chenda1 + 1 热心回复!
jy138290 + 1 + 1 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

q3125418 发表于 2024-8-8 10:28
vr4u 发表于 2024-6-13 09:47
难道只有火绒才能拦截这个病毒,360不行吗?

变种太多,样本的特征需要不断的识别。。。。。

等厂商拿到样本,,,病毒都繁衍好几个版本了。。。

总之,别瞎打开EXE就没得事。。。
JerryGod 发表于 2024-6-14 09:12
ssll3322 发表于 2024-6-12 16:58
ZhjhJZ 发表于 2024-6-12 15:27
怎么感觉病毒多起来了,瑟瑟发抖
qqycra 发表于 2024-6-12 16:04
火绒的文章必看
uLY3M 发表于 2024-6-12 21:37
牛的,相当可以
acesec 发表于 2024-6-12 22:00
努力去火绒上班
chenkeai深蓝 发表于 2024-6-13 07:45
我应该早点接触病毒学,感觉很神奇
北阳Amy 发表于 2024-6-13 08:56
昨天我微软更新了,重启后怎么火绒还报C:\Windows\explorer.exe的毒啊

病毒名称:HEUR:Trojan/AvKiller.c
病毒ID:4C48D9DB2118C0AA
病毒路径:C:\Windows\explorer.exe
操作类型:
操作结果:已处理,删除文件

进程ID:4
操作进程:System
父进程:Idle
shuifanjishi 发表于 2024-6-13 09:06
火绒的文章必看
vr4u 发表于 2024-6-13 09:47
难道只有火绒才能拦截这个病毒,360不行吗?
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 09:36

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表