吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 23442|回复: 41
收起左侧

[PC样本分析] 记驱动人生某一版本详细分析

  [复制链接]
超人不会pang 发表于 2019-7-1 13:46
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 超人不会pang 于 2019-7-1 14:37 编辑


1.样本概况
1.1 样本信息
样本名称:bdbfa96d17c2f06f68b3bcc84568cf445915e194f130b0dc2411805cf889b6cc
所属家族:驱动人生
MD5值:59b18d6146a2aa066f661599c496090d
SHA1值:48a3046381a963a2471875ef67886e35b90e8541
病毒行为:修改注册表,创建计划任务,更改防火墙设置。自动化扫描内网主机进行横向传播。
1.2 测试环境及工具

Win7 32、IDA、PEid、火绒剑

1.3病毒背景

2018年12月14日首次发现。木马通过驱动人生升级推送功能进行大量传播,感染电脑后继续通过“永恒之蓝”高危漏洞进行全网传播,并下载其它病毒模块,回传被感染电脑的IP地址、CPU型号等信息。

具体行为分析
2.1 主要行为

修改注册表,创建计划任务,更改防火墙设置。自动化扫描内网主机进行横向传播,创建互斥量进行挖矿操作。

2.2 恶意代码分析

2.2.1 恶意程序的代码分析片段
1.检查自身名称是否为svhost.exe或者svchost.exe,如果程序名称不为svhost.exe或者svchost.exe则从资源节中解密释放PE文件,释放文件的hash: a4b7940b3d6b03269194f728610784d6,最终在磁盘中释放路径为C:\windows\temp\ttt.exe,释放完成后便执行该文件。
1.jpg
2.jpg
3.jpg

2.释放执行ttt.exe文件后便多次使用cmd命令清理系统原来感染的老版本的挖矿程序,为新版挖矿程序的安装和运行清理环境。
4.jpg
5.jpg

3.设置Windows防火墙开启65531,65532,65533端口,在防火墙规则中分别命名为UDP2,UDP,ShareService,同时开启端口转发,将来自65532端口的流量转发到1.1.1.1地址的53端口,将来自65531端口的流量转发到1.1.1.1地址的53端口
6.jpg

防火墙规则中查看到的名称
7.jpg

4.拷贝主程序到C:\windows\system32\svhost.exe并设置隐藏属性,同时拷贝一份到C:\windows\system32\drivers\svchost.exe,之后设置计划任务同时设置注册表项,实现程序的开机启动和定期执行。
8.jpg
9.jpg

5.完成上述配置后尝试使用CreateServiceA函数将C:\windows\system32\drivers\svchost.exe注册为服务,如果服务存在则修改服务配置,如果CreateServiceA函数调用失败则使用CMD方式调用sc create创建服务,最终尝试使用net start和StartServiceA函数的方式启动服务函数。
10.jpg
11.jpg

12.jpg

火绒剑中监测到的可疑操作
13.jpg


6.服务主函数中首先根据系统位数拼接后续将要使用到的字符串,包括从恶意域名临时下载的文件以及解密之后的文件,和后续用来伪装成任务管理器共享进程进行挖矿操作taskmgr.exe。
14.jpg

7.创建名为“it is holy shit”的互斥体防止进程重复启动运行,根据系统位数解密释放对应的资源文件,64位系统解密释放100号资源,32位系统解密释放标号为101号资源,释放路径为C:\Windows\system32\drivers\taskmgr.exe(64位系统:C:\Windows\SysWOW64\drivers\taskmgr.exe)。

15.jpg
16.jpg
资源工具中查看该文件的资源

17.jpg

8.创建四个线程分别进行相关的恶意操作,第一个线程根据主机中的进程和主机系统相关参数调整挖矿程序的运行状态,当用户打开任务管理器浏览时会自动关闭伪装程序taskmgr.exe,使其不被用户发现;第二个线程每隔10s尝试启动C:\Windows\temp\svchost.exe(永恒之蓝漏洞攻击文件),实现内网的横向感染传播;第三个线程使用Wmic命令,每10秒对进程进行一次检查,触发时将结束挖矿进程;第四个线程打开监听65533端口。


创建四个线程进行操作

18.jpg
根据主机进程决定是否暂时关闭伪装进程

19.jpg
每隔十秒尝试启动永恒之蓝漏洞攻击文件

20.jpg
每隔10s使用WMIC检查进程并决定是否关闭挖矿程序

21.jpg
完整的命令:
22.jpg
开启网络套接字,监听65533端口
23.jpg
9.收集主机信息并发送到远程服务器,收集的信息包括主机ID,GUID,MAC地址,用户名,系统版本,系统位数,CPU型号等
24.jpg
10.识别杀软,打开互斥体进行挖矿操作,对象名称为“I am tHe xmr reportter”,xmr为门罗币。创建计划任务执行powershell获取日志。
25.jpg
26.jpg
27.jpg
11.尝试访问远程服务器中指定的文件内容,获取执行指令,在本地解密后解析执行指令,本地获取指令后通过硬编码的RSA公钥进行解密,最终解析执行远程命令。
28.jpg
12.与C2通信,接收指令,使用抓包工具后发现ii.haqo.net, pp.abbny.com oo.beahh.com, p.abbny.com, i.haqo.net,o.beahh.com这些域名已没有应答值。
29.jpg
30.jpg
13.样本中另外一个文件,被设置为隐藏属性。是用python生成的exe文件。
31.jpg
使用pyinstxtractor.py工具反编译出来python源码,发现恶意代码内容与github上已有的永恒之蓝exploit文件完全相同,增加了弱口令爆破与扫描1433、455、65533端口通过cmd命令去执行shell
32.jpg
33.jpg
通过Invoke-Mimikatz.ps1获取系统密码实现内网传染。
34.jpg

免费评分

参与人数 10威望 +1 吾爱币 +14 热心值 +10 收起 理由
willJ + 1 + 6 + 1 优秀,期待你更多优秀的分享
水里鱼 + 1 谢谢@Thanks!
xiaofengzi + 1 + 1 用心讨论,共获提升!
木牛流马 + 1 + 1 我很赞同!
xyl52p + 1 + 1 用心讨论,共获提升!
笙若 + 1 + 1 谢谢@Thanks!
wisoft + 1 + 1 图片咋不清晰呢
小白白爱吃糖 + 1 + 1 谢谢@Thanks!
名字以后会后悔 + 1 + 1 用心讨论,共获提升!
chmod755 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

骑龟赛跑 发表于 2019-7-1 14:29
我很想知道一款病毒是如何诞生的.  如何调试的?每自毁一次机器调试一次?
紫魂白魄 发表于 2019-7-8 14:39
官方现在正式版本自带的流氓广告程序也极度恶心,右下窗口弹窗,当你调取任务管理器查看流氓来源的时候,会极度卡顿,但是cpu、硬盘、内存使用率不会飙满,只是应该单纯临时干扰鼠标的dpi跟操作界面,直到你关闭任务管理器。而且你在相关广告推送软件目录下右击也会出现这个情况。
血色天空 发表于 2019-7-1 14:39
 楼主| 超人不会pang 发表于 2019-7-1 14:48

我是新手,互相学习
 楼主| 超人不会pang 发表于 2019-7-1 14:49
骑龟赛跑 发表于 2019-7-1 14:29
我很想知道一款病毒是如何诞生的.  如何调试的?每自毁一次机器调试一次?

大佬知道后也请告诉我
NewBee丶 发表于 2019-7-1 16:08
太强了👍太强了👍
pointwin 发表于 2019-7-1 21:06
厉害厉害。
yylzzx 发表于 2019-7-1 21:30
学习病毒过程
井谦 发表于 2019-7-1 22:31
谢谢楼主的分享!
haidao123 发表于 2019-7-2 03:58
好好学习了
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-22 16:02

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表