吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 20038|回复: 66
收起左侧

[PC样本分析] [原创]一款下载、窃密者病毒样本分析

  [复制链接]
一个悲桑的问题 发表于 2018-11-18 23:17
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
开始前先来皮几句吧。
/////////////////////////////////////不喜欢的同学略过这一段////////////////////////////////////
注册论坛好久了,一直在划水,没有发过几篇正紧的文章,距离上一篇勒索病毒的分析已经过去快一年多了,深感愧疚。一直在上班工作,回来就想休息了,躺下耍一会手机说分析一下样本发上来,结果一直是一躺下就到第二天了。。。。。
鄙人曾从事于安全公司,专制做病毒逆向分析,别问我驱动层的,菜逼一个,但多多少少有点逆向经验,所以发出来和大伙交流一下,希望各位大牛可以不吝赐教,助我一臂之力,更上一层楼!
/////////////////////////////////////////////////////////////////////////////////////////////////////////


好了,前戏完了,该出上正菜了我是直接在我的word中写好的,再复制粘贴过来的,一定会出现排版问题的,大伙将就一下哈!
**************************************************************************
分析才多就,排版两小时
好想吐槽啊
。。。。。。。。
今天的上传到限制了很多图片贴不上来
空白处都是图片
没法在线保存呢要不然保存好,下一次继续编辑(不要告诉我网站这个可以,保存好下一次又要我继续排版图片呢,我才不干呢)
我将我自己写的word上传上来,里边的完整呢

那个啥,担心的同学就别下了,免得中毒了怪我
自我说明,word无毒副作用

闲了弄




卧槽、找不到上传文件的地方。。。。。。。。。。
那真没招
**************************************************************************



1.拿到病毒时,先观察其行为进行分析,然后就是抓重点,得结果,写报告。

2.那让我们一起看一下今天的这个病毒吧。

3.工具采用的是吾爱破解专用工具包,里边工具很全,感谢吾爱破解的无私奉献!

4.将病毒拖入火荣剑中进行行为监测:

1.png

5.总结其流程,顺便画一个思维导图来理清思绪:(在论坛里边下载的思维导图工具,第一次用不太会。但是我已经猜到很多同学要网址呢,诺给你https://www.52pojie.cn/thread-712814-1-1.html,刚才发现这个链接挂了。。。。算了你们看看我用吧,过过眼瘾得了)

2.jpg

6.将病毒原样本拖入PE工具,如下图:

3.jpg

7.因为此病毒有壳,所以为大家演示一下简单的脱壳步骤。

///////////////////////////////////////////////////////////////

8.一个很简单的UPX壳,我们利用ESP定律脱掉它

9.如下图:

4.jpg

10.然后Go一下,在Go的附近找popad这就是和我们pushad所对应的然后找到附近的一个大跳转jmpxxxxxxx(此偏移一般都很大)跳过去一般就是我们的真正OEP

11.然后脱壳:

5.jpg

6.jpg

12.选择一个路径,随便起一个名字保存下刚dump下来的文件。

13.修复IAT表

7.jpg

14.保存好被修复IAT表的程序(123.exe)后,再次查壳看看还有没有壳。

8.jpg

15.OK脱壳演示完毕。

///////////////////////////////////////////////////////////////

16.提取刚才病毒原样本oia.exe与其释放的PE文件。

17.思维导图的好处就是可以让我们大伙看出这款病毒的主要逻辑、主体部分在哪,所以我们直奔主题:server.exe

server.exe
根据思维导图我们知道,该PE主要入侵了两个进程:浏览器与svchost.exe来执行恶意代码

9.jpg

10.jpg

但是在这儿我们发现要入侵的PE大小实在是大的有点过分,所以我们“Alt+m”不难发现,要写入的大小是PE文件的大小

11.jpg

所以呢,他就是将自己注入到了其他进程中执行了一些代码
我们只需要分析server.exe自身程序就行了

将server.exe程序拖入IDA中:
发现是一个干净的PE,自识别主入口
7.0的好处就是有很多的函数是可以被程序自身所发现的
步入代码瞅瞅:如下

12.jpg

该处代码有很多是我看过的,都是些基本操作没有什么重要的地方

继续往下走就能看到一些有意思的东西比如:反虚拟机、反杀软、反调试、注册表启动等

13.jpg

代码注入:

14.jpg

我们进入到反调试、反虚拟机中取看看:
总结如下(我就捡了两个贴张图)

15.jpg

那么我们先进CreateProcess_WriteProcessMemory函数瞅瞅:
就这两个挂起

16.jpg

再瞅瞅写入:WriteProcessMemory
IDA中是这样的:
WriteProcessMemory_C83CE4(dword_C8F8AC,RegRun_Exec_C88EF8,&unk_C8FCCC);
我们先进参数二RegRun_Exec_C88EF8函数中一探究竟(其传参根据反汇编可找到为本进程路径)

17.jpg

18.jpg

19.jpg

20.jpg

由此得出,病毒将自己写入到了IE浏览器进程以及svchost.exe中

接下来

21.jpg

此处将网络下载的文件注入(IP已死掉没法搞了下去)

22.jpg

结尾处就是下载执行

23.jpg

病毒的执行流程就是这样
因为其链接的网址已经挂掉了,所以就没法继续分析下去了


//////////////////////////////////////////////////////////////////////////


然后我们就研究一下该病毒生成的文件功能:
文件486aoia.exe拖入PE查看器CFF中发现也有壳UPX
同理可脱干掉他
然后我们跑一下该程序的行为,发现
它创建一个挂起的自身,并写入了执行代码,然后在册表创建了”HKEY_LOCAL_MACHINE\http://马赛克.com/Panel/five/fre.php”进行联网。
它在启动目录“开始-所有程序-启动”创建了开机启动项,在C:\Users\用户名\AppData\Roaming目录下创建隐藏文件夹5F1832以及其子项2728C2.exe(该两项都为随机名,主要是为了开机启动)
自删除

执行486aoia.exe

24.jpg

跨进程创建内存空间

25.jpg

跨进程写内存

26.jpg

设置线程上下文

27.jpg

恢复线程并结束自身

28.jpg

OK那么现在我们瞅瞅被注入的代码有哪些功能附加上被注入的线程

我们在刚才注入的时候,直接将内存中的PE文件拷贝出来,使用loadPE修复一下,丢到ida中查看一下,如下:

29.jpg

再查看一下字符串

30.jpg

31.jpg

再加上我在文件内的浏览,基本上已经可以判定这是一个窃密病毒了,窃取本地浏览器账号、ftp本地服务器账号密码,将窃取到的信息加密并上传到http://马赛克.com/Panel/five/fre.php连接key是16320C42每次发送的大小是216字节

问:为什么后边这一块窃取密码并发送的这一段不详细分析一下?答:后边这一块大家伙还是少知道的好,会逆向、找得到问题的关键点就行了,免得方便一些人学坏,直接拿过去用来做坏事

问:为什么要给网址来个汉语的马赛克?答:因为这个网址还活着,有专业人士去使用我们不会防御的家伙们看看就好了,剩下的就交给警察叔叔们了

好了,本期导视就到这里了,我以后会更勤快一点的

免费评分

参与人数 23威望 +2 吾爱币 +42 热心值 +22 收起 理由
15831421878 + 1 + 1 谢谢@Thanks!
Hmily + 2 + 10 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
siuhoapdou + 1 + 1 谢谢@Thanks!
梦古无疆 + 1 + 1 谢谢@Thanks!
人生海海 + 2 + 1 我很赞同!
hugangtingQ + 1 + 1 我很赞同!
Sound + 8 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
xu19860224 + 1 + 1 我很赞同!
章魚葛格 + 1 不明覺厲的我膜拜大佬
自强 + 1 + 1 谢谢@Thanks!
hjm666 + 1 + 1 正在学习···· 感谢样贴·
xiaofengzi + 1 + 1 用心讨论,共获提升!
lookerJ + 1 用心讨论,共获提升!
nathannan + 1 + 1 用心讨论,共获提升!
爱吃西柚的狼 + 1 + 1 谢谢@Thanks!
deffy + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
shangli + 1 + 1 虽然看不懂,但还是先膜拜一波大佬
5rfn + 1 + 1 鼓励转贴优秀软件安全工具和文档!
康铎严 + 1 + 1 用心讨论,共获提升!
smile1110 + 3 + 1 我很赞同!
依旧_浅笑 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
涛之雨 + 1 + 1 热心回复!
姚小宝 + 2 + 1 热心回复!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| 一个悲桑的问题 发表于 2018-11-19 09:49
刚才有个好友在下边问了:内存拷贝文件是怎么拷贝的,我在这统一回复一下
首先,你要明白,文件对齐的原理,在磁盘中的文件与在内存中的文件的文件对齐是不一样的
叫做段对齐。当你用PE查看器观察的时候就能发现
在OD中,直接在内存中追踪要写入的内存地址,拷贝下来,二进制保存。
然后拖入PE查看器CFF中,拖入CFF中查看区段,然后修改段对齐大小(就是将内存对齐的起始地址,修改为文件对齐的地址),然后保存一下,就可以用IDA直接查看了是不是很简单,所以只要明白原理,就会好很多。
 楼主| 一个悲桑的问题 发表于 2018-11-19 19:20
wisoft 发表于 2018-11-19 16:50
大神,很想学习下。但是图片看不怎样清楚。能分享word吗,放网盘什么的都行。

链接:https://pan.baidu.com/s/1MOYaeqs8JTMExpKO_PNtVw
提取码:wqb3
 楼主| 一个悲桑的问题 发表于 2018-11-18 23:41
尾巴这么多图片 版主帮我改改啊  我打开编辑根本就看不到啊。。。。。。

点评

把全部上传图片都删了,然后把帖子中图片都上了,重新上传,上传一张放入帖子一张,一一对应就没有啦  详情 回复 发表于 2018-11-19 08:05
Cmilyci 发表于 2018-11-19 00:04
学习了学习了。涨知识啊!
sdqyh1985 发表于 2018-11-19 00:16
好软件谢谢分享,谢谢
皓哥阿 发表于 2018-11-19 00:40
楼主大神我等膜拜
涛之雨 发表于 2018-11-19 00:44
嗯。。。不愧是专业人员。分析的很深入。
虽然似乎现在起用不到(汗)
不过可以依葫芦画瓢。逆向时用到
450046181 发表于 2018-11-19 01:52
我是看不懂这个,呵呵,只能看懂点皮毛!路过,仰望楼主,膜拜楼主~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~!
头像被屏蔽
詠恒ぃ☆吣 发表于 2018-11-19 03:33
提示: 作者被禁止或删除 内容自动屏蔽
smile1110 发表于 2018-11-19 08:05
一个悲桑的问题 发表于 2018-11-18 23:41
尾巴这么多图片 版主帮我改改啊  我打开编辑根本就看不到啊。。。。。。

把全部上传图片都删了,然后把帖子中图片都删了,重新上传,上传一张放入帖子一张,一一对应就没有啦
shisongtao 发表于 2018-11-19 08:19
感谢楼主
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-22 16:14

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表