吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 17043|回复: 46
收起左侧

[PC样本分析] 【原创】格盘是为了防止控制端域名被私自修改:分析一个现在很热门的木马Rombertik

  [复制链接]
hellotong88 发表于 2015-5-22 11:04
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 hellotong88 于 2015-5-22 23:07 编辑
http://www.freebuf.com/vuls/67680.html前不久,思科安全团队披露了一款代号为Rombertik的病毒,它的主要危害是窃取Chrome、Firefox和IE浏览器上输入的文本信息,并采用超级复杂的指令和垃圾代码对抗安全研究人员的分析。一旦Rombertik发现有人正在对它进行分析,就会“自杀式袭击”破坏MBR(磁盘主引导区),使系统无法正常启动;如果篡改MBR失败,它还会加密破坏电脑上的文件。

打开“Procmon.exe”监视一下行为。


创建文件:
图片1.png
自启动项是“fgf.vbs”,“fgf.vbs”调用“yfoye.bat”,“yfoye.bat”调用“yfoye.exe”。


创建进程:
图片2.png

看到yfoye.exe”创建了进程yfoye.exe”。

现在我们强制结束进程“yfoye.exe”。
然后用od载入“yfoye.exe”,下“CreateProcessA”和“CreateProcessW”硬件断点,跑起来。
一会儿断在“CreateProcessW”处。
图片3.png


跟踪一下,看程序在做什么,是在用“ZwMapViewOfSection”注入。
图片4.png


首先“MapView”到新创建进程“0x400000”处,即“ImageBase”。
图片5.png


然后“MapView”到当前进程的堆空间。
图片6.png


将一个PE文件Load到当前进程堆空间“0xEA0000”,
相当于将PE写入到新创建进程“0x400000
图片7.png



上图中,数据是从“0xe70000”读取的,
我们dump“0xe70000”处的数据,是一个PE文件:
图片8.png


分析dump出来的PE文件。

从资源解密出控制域名(www.centozos.org.in):
图片9.png


资源一,rsa加密过的数据(明文“www.centozos.org.in”):
图片10.png


资源二,rsa密钥:
图片11.png


资源三:
图片12.png


注入到不同的浏览器,窃取通信数据。
不同的浏览器hook的位置不一样,有6hook
Hook一:
图片13.png

Hook二(Chrome WSA):
图片14.png

Hook三(Chrome):
图片15.png

Hook四(FireFox):
图片16.png

Hook五:
图片17.png

Hook六(IE):
图片18.png


用httpPOST”方式跟控制端通信:
图片19.png


POST的数据如下:
图片20.png

图片21.png


提取可供监测的特征点如下:
POST
User-Agent: runscope/0.1
name=
&host=
&browser=
&post=
不包含“Referer:


通过hookCreateToolhelp32Snapshot”搞破坏。
格盘、加密文件,搞破坏的目的其实是为了保护配置文件,防止控制端域名被修改。
当“TimeDateStamp!=hash(1006号资源)”触发破坏行为。
之前的报道说是为了“阻碍病毒分析人员分析”的观点是错误的。
图片23.png


样本(密码123) F504EF6E9A269E354DE802872DC5E209.zip (605.13 KB, 下载次数: 102)

免费评分

参与人数 32热心值 +32 收起 理由
kaka100861 + 1 欢迎分析讨论交流<span id="transmark.
zhangbox0163 + 1 我很赞同!
zhczf + 1 我很赞同!
huyhpj + 1 感谢发布原创作品,吾爱破解论坛因你更精彩.
Maybe-sun + 1 我很赞同!
it1989 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩.
a195766000 + 1 谢谢@Thanks!
y376694236 + 1 一堆数字都能看懂其中的奥秘
曲折 + 1 热心回复!
YHZX_2013 + 1
qq743063 + 1 谢谢@Thanks!
pushebp + 1 鼓励转贴优秀软件安全工具和文档!
yhxing + 1 我很赞同!
神来狗狗也 + 1 我很赞同!666
丨丶钟情 + 1 大牛 !!!!!
Μs丶兄弟 + 1 热心回复!
peter_king + 1 谢谢@Thanks!
vigers + 1 我很赞同!
wu0687050 + 1 佩服佩服
拿破轮胎 + 1 我很赞同!
huaigege23 + 1 虽然看不懂不够好像很牛的样子
Tortoise + 1 谢谢@Thanks!
shijie52 + 1 我很赞同!
valucky + 1 谢谢@Thanks!
as125566 + 1 我很赞同!
逍遥枷锁 + 1 谢谢@Thanks!
Monitor + 1 看着太危险了
CarroAro + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩.
山顶的一棵草 + 1 请收下我的膝盖!
sanhexq + 1 感觉很厉害的样子
吾爱T阿杰 + 1 真心膜拜了
zaq2610079 + 1 热心回复!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

五二破解 发表于 2015-5-22 11:11
看不懂,顶一下
吾爱T阿杰 发表于 2015-5-22 11:19
善缘 发表于 2015-5-22 11:21
1c3z 发表于 2015-5-22 11:25
真的真的。好狠!
201411112020 发表于 2015-5-22 11:32
擦,好牛逼的样子!
laochenren888 发表于 2015-5-22 11:32
真心看不懂,感觉好厉害的样子!!
山顶的一棵草 发表于 2015-5-22 12:52
只会用用普通的HIPS,下面那些完全看不懂
 楼主| hellotong88 发表于 2015-5-22 13:25
已添加样本附件,其中肯定还有很多细节没分析到,分析到新东西的朋友欢迎补充
CarroAro 发表于 2015-5-22 14:26
不論是為了阻礙分析或者盜版哪種行為
都是很兇狠的方式...


您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 10:52

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表