吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 54037|回复: 190
收起左侧

[PC样本分析] 一个窃密木马的简单分析

    [复制链接]
mortalboold 发表于 2018-5-28 14:48
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 mortalboold 于 2018-5-28 14:52 编辑

一、   样本信息
1.     样本类型:窃密
2.     样本大小:540kb

. 二、   简介
该样本是针对windows系统盗取ftp,浏览器,邮箱账号密码的窃密木马
三、   详细分析/功能介绍原始文件:
该样本采用vb编写,但vb其实是一个loder用于解密加载真正的恶意模块。分析如下:
运行后首先创建一个挂起状态的傀儡进程
1.png
                              
使用ZwWriteVirtualMemory将恶意代码写入到刚创建的傀儡进程中,之后交由傀儡程序执行恶意代码
2.png

写入的恶意代码为一个Pe文件
3.png

该模块经过分析确定为f窃密木马,会尝试窃取浏览器/FTP/邮箱账户密码,下载执行exe文件,具体分析如下:

Api获取:
样本的api函数通过调用sub_4031e5函数获取,交叉引用可见有两百余处引用,动态一个个调试效率太慢,所以使用IDA+od脚本将api函数注释出来。
4.png

可以通过ida脚本将每次解密的参数找出,之后使用od脚本push 这些参数,call 4031e5获取api。再通过ida脚本将api注释到ida中。
Ida python查询参数脚本如下:
5.png

Od部分脚本:
6.png

Ida注释脚本:
7.png

脚本运行成功后,可见所有的api全部注释与ida中,增快了静态分析的效率
8.png

功能行为
运行后,首先通过获取guid创建互斥,保证只有一个实例运行。
9.png


之后开始从FTP,浏览器,邮箱窃取账号信息:
Chromium:
Chromium家族的浏览器将登录信息存储在名为“LoginData”或“Web Data”的文件中,样本通过硬编码路径,通过字符串”password_value”“username_value”“original_url”获取这些文件中的账户信息:
10.png
11.png



Chromium家族的浏览器包括ComodoDragonMapleStudioChromeNichromeRockMeltSparkChromiumTitanTorcheYandexEpiCocCocVivaldiComodo ChromodoSuperbird CoowonMustang360 CatalinaGroup CitrioChrome SxSOrbitumIridiumOpera


firefox:
firefox家族将账户信息保存在signons.sqlite,logins.json,prefs.js中,样本通过读取这些文件获得账户信息:

Firefox家族浏览器包括FirefoxIceDragonSafariK-MelonSeaMonkeyFlokThunderbirdBlackHawkPostboxCyberfox,Pale ,Moon,waterfox, Lunascape.
14.png


ftp:
通过读取ftp软件的ini\ xml\dat文件获取用户账户信息:




ftp包括TPBox/NppFTP/EasyFTP/Sftp/xftp/StaffFTP/BlazeFtp/DeluxeFTP等
17.png
19.png




邮箱:
通过读取邮箱的特定文件获取用户用户信息:


邮箱包括outlook/FossaMail/Postbox/Foxmail等
21.png
22.png



其他软件:
获取包括Automize\fullsync\ExpanDrive\PuTTY等工具用户信息:



上传获取的账户信息
23.png
将获取的计算机用户名,用户信息,屏幕大小以及获取到的各种软件账户信息发送到operco****/******/fre.php
24.png


拷贝自身到%appdata%下,并设置文件属性为隐藏,删除自身
25.png

尝试从服务器获取下载链接。下载其他可执行文件执行
26.png
27.png






免费评分

参与人数 66吾爱币 +64 热心值 +59 收起 理由
WuDing + 1 我很赞同!
mmbetong + 1 + 1 我很赞同!
Tomcrack520 + 1 觉得分析的挺到位的,不过我总觉得这个木马有点过时了。(雾)
15048061884 + 1 + 1 热心回复!
dechong + 1 + 1 用心讨论,共获提升!
bcbc + 1 + 1 谢谢。
蚂蚁牙黑 + 1 + 1 厉害!!!!
zwj6040 + 1 谢谢@Thanks!
webpage + 1 我很赞同!
SKsk + 1 + 1 谢谢@Thanks!
stupidjia + 1 + 1 谢谢@Thanks!
L先生 + 1 + 1 用心讨论,共获提升!
浅陌夏秋丶 + 1 + 1 我很赞同!
xiao_tang + 1 + 1 我很赞同!
xuan + 1 + 1 我很赞同!
biubiufish + 1 + 1 热心回复!
fengbao + 1 + 1 热心回复!
snccwt + 1 + 1 谢谢@Thanks!
布丁猫 + 1 + 1 用心讨论,共获提升!
Azure_atk + 1 + 1 谢谢@Thanks!
icezyf + 1 热心回复!
zlp_009 + 1 + 1 热心回复!
cjdzkj + 1 + 1 用心讨论,共获提升!
zhristtt + 1 + 1 已经处理,感谢您对吾爱破解论坛的支持!
97本科僧 + 1 + 1 我很赞同!
玉米 + 1 + 1 用心讨论,共获提升!
Sacred丶迷恋 + 1 + 1 我很赞同!
268296 + 1 + 1 我很赞同!
6711982 + 1 + 1 探讨裙:6711982
zhpt + 1 + 1 我很赞同!
diditang + 1 + 1 谢谢@Thanks!
heroabo + 1 + 1 大神,膜拜!
YCAPTAIN + 1 + 1 用心讨论,共获提升!
zqm44ff + 1 + 1 用心讨论,共获提升!
太疯癫 + 1 热心回复!
jnez112358 + 1 + 1 谢谢@Thanks!
一颗赛艇 + 1 + 1 用心讨论,共获提升!
MaxMadcc + 1 谢谢@Thanks!
落寞的回忆 + 1 + 1 热心回复!
siuhoapdou + 1 + 1 热心回复!
silvanevil + 1 + 1 谢谢@Thanks!
哈小屈 + 1 + 1 厉害厉害!!!向大佬学习!
Cherishao + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
soyiC + 1 + 1 热心回复!
wxr5938 + 1 + 1 帖子写得很好,可是我看不懂,但也要给加分
阿尔卡伊达 + 1 + 1 热心回复!
ask1000 + 1 + 1 谢谢@Thanks!
lookerJ + 1 + 1 谢谢@Thanks!
老张有大梦想 + 1 + 1 表示,我是路过的,谢谢大神分析
SomnusXZY + 1 热心回复!
半凉未凉 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
palmer680 + 1 + 1 我很赞同!
粉藍弟 + 1 + 1 用心讨论,共获提升!
huangyiyi + 1 + 1 谢谢@Thanks!
quk29 + 1 + 1 用心讨论,共获提升!
hjm666 + 1 + 1 用心讨论,共获提升!
tztt3033 + 1 + 1 用心讨论,共获提升!
晓我琴宝贝 + 1 + 1 膜拜
kelenight + 1 我很赞同!
疯魔虚无 + 1 + 1 热心回复!
goodeveing + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
einc + 1 用心讨论,共获提升!
lou121505 + 2 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
a1142099496 + 2 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
钢铁不败 + 1 + 1 热心回复!
HEHE139 + 1 + 1 热心回复!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| mortalboold 发表于 2018-5-30 15:21
hjm666 发表于 2018-5-29 21:13
学病毒分析除了逆向知识,还要学习什么啊? 病毒分析要怎么下手啊楼主?

熟悉下常用的API,或者看哈论坛其他人有样本的,照着分析下,多分析有经验就好了,可以 看看恶意代码分析实战那本书
 楼主| mortalboold 发表于 2018-5-29 17:41
Hmily 发表于 2018-5-29 17:36
加个精华鼓励一下,ida脚本跑iat再导入OD那是亮点啊,看起来清晰多了,期待补充完整样本行为,比如下载那块 ...

谢谢H大,这是很久以前写的报告了,样本找不到了
lou121505 发表于 2018-5-28 15:43
头像被屏蔽
w5645060 发表于 2018-5-28 15:59
好文  学习了
skate1122 发表于 2018-5-28 16:42
看不懂!!支持就好了!
丘比萌龙 发表于 2018-5-28 17:22
看不懂。。膜拜大佬
PikachuKing 发表于 2018-5-28 17:48
支持一下啦。
小草莓种植员 发表于 2018-5-28 17:58
66666大佬
一片小朵朵 发表于 2018-5-28 19:43
感谢楼主分享
170 发表于 2018-5-29 14:22
先回复再分析。
shenyang310 发表于 2018-5-29 17:26
很牛逼啊。可惜看不懂,崇拜大神
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-15 10:20

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表