Jomalone(“独狼”)的Rootkit后门dll分析

从England.sys(md5为B5F7DE342B1D661E57BCD14615CADEFA)驱动文件中提取了4个dll文件,其中两个64位dll,两个32位dll,主要用于APC注入

样本的基本信息

文件名称: 0x3df60-0x15e00.dll
文件大小: 87.5 KB (89,600 字节)
Link date: 11:43 2017/11/10
MD5: 24e9cc3fc2a95898bc99e17c8c8a0501
SHA1: 0ae113e7607e280f58d9d5ce99fff3b59fa20587
pdb路径:e:\BaiduNetdiskDownload\driverone20171110\Release\demodll64.pdb

文件名称: 0x23d00-0x19e00.dll
文件大小: 103 KB (105,984 字节)
Link date: 11:40 2017/11/10
MD5: 0da3c732313fdf561dd542ae988cbe76
SHA1: 5e7d78b58586b43f74ead3f223aeb09d95b1c20a
pdb路径:e:\BaiduNetdiskDownload\driverone20171110\Release\demodll64.pdb

文件名称: 0x53d60-0x11600.dll
文件大小: 69.5 KB (71,168 字节)
Link date: 11:43 2017/11/10
MD5: c3a2b51a98a12289a0346b50d833802f
SHA1: 3e5498d948400253b544c347ae7f079a0ab8dfa5
path路径:E:\BaiduNetdiskDownload\driverone20171110\Release\demodll32.pdb

文件名称: 0xe900-0x15400.dll
文件大小: 85.0 KB (87,040 字节)
MD5: f10fc5093338a6259a90c54a5a8e69c5
SHA1: 11fd59c3dd45649c27fd1fa07492d0d264dedea9
Link date: 11:40 2017/11/10
pdb路径:E:\BaiduNetdiskDownload\driverone20171110\Release\demodll32.pdb

这四个样本其实是两个版本 编译时间分别 为11:40 2017/11/10和11:43 2017/11/10,功能上大同小异
下面我们分析一下0xe900-0x15400.dll这个动态库

0xe900-0x15400.dll

dll的入口,首先获取当前模块名称和当前进程的路径,从配置文件(%appdata%\Maybach\config.ini)读取了两个开关变量lk和qh,匹配安全软件和常用的浏览器程序,如下图所示。

当用户打开上图中的浏览器进程的话,该dll关闭主进程,重新创建并启动一个新进程,进程的启动参数为 浏览器路径+跳转网址

这个跳转网址是是从配置文件中读取解密出来的,并且有一个默认值,对于QQ浏览器、2345加速浏览器、2345chrome浏览器,默认跳转的网址为 http://106.75.84.24/pg/html1,对于其它的浏览器跳转到 http://www.dn2018.com
若当前程序为 搜狗浏览器、UC浏览器、遨游浏览器的话,会打开IE浏览器
http://106.75.84.24/pg/html1 和 http://www.dn2018.com 都会跳转到2345的导航页,如下图所示。


sub_10002340是解密函数,解密的逻辑的比较简单,用C语言可以很容易实现,代码如下

#include <stdio.h>
#include <windows.h>

typedef wchar_t _WORD;


// 对src的内容进行解密,保存在dst中
int  DecodeString_10002340(_WORD *dst, _WORD *src, unsigned int src_len)
{
	unsigned int v3; // esi
	int v4; // ecx
	__int16 v5; // dx

	v3 = 0;
	if ( src_len )
	{
		v4 = (char *)src - (char *)dst;
		do
		{
			switch ( v3 & 7 )
			{
			case 0u:
				v5 = *(_WORD *)((char *)dst + v4) - 1;
				goto LABEL_12;
			case 1u:
				v5 = *(_WORD *)((char *)dst + v4) - 2;
				goto LABEL_12;
			case 2u:
				v5 = *(_WORD *)((char *)dst + v4) - 3;
				goto LABEL_12;
			case 3u:
				v5 = *(_WORD *)((char *)dst + v4) - 4;
				goto LABEL_12;
			case 4u:
				v5 = *(_WORD *)((char *)dst + v4) - 5;
				goto LABEL_12;
			case 5u:
				v5 = *(_WORD *)((char *)dst + v4) - 6;
				goto LABEL_12;
			case 6u:
				v5 = *(_WORD *)((char *)dst + v4) - 7;
				goto LABEL_12;
			case 7u:
				v5 = *(_WORD *)((char *)dst + v4) - 8;
LABEL_12:
				*dst = v5;
				break;
			default:
				break;
			}
			++v3;
			++dst;
		}
		while ( v3 < src_len );
	}
	return 1;
}

int main(){

	
	char src1[] = "\x69\x00\x76\x00\x77\x00\x74\x00\x3F\x00\x35\x00\x36\x00\x7F\x00\x78\x00\x79\x00\x31\x00\x68\x00\x73\x00\x38\x00\x37\x00\x39\x00\x39\x00\x30\x00\x66\x00\x73\x00\x72\x00\x00\x00";
	wchar_t* src = (wchar_t*)src1;
	wchar_t dst[512] = {0};
	DecodeString_10002340(dst,src,wcslen(src));
	printf("%ws\n",dst);
	return 0;
}

若当前程序为资源管理器的话,开启了三个线程

第一个线程从http://163.44.150.179/pz/config_gz.ini下载一个配置文件保存为%appdata%\Maybach\config.ini

第二个线程从从配置文件中读取一系列变量,名为u1-30和j1-30,解密链接后发送给驱动,控制码为0x9C402408,从配置文件中读取denylist解密后发送给驱动,控制码为0xF8267A9B,驱动的符号链接名为\\.\xxxxxx,驱动的程序还需要进一步分析

第三个进程从配置文件中读取了d1u1,dlu2,dlu3这三个字符串,是三个链接,解密后从下载文件保存为%appdata%/Maybach/[随机数].dll,解密后加载执行

小结

其它的样本同上面的样本功能基本相同,通过分析,提取出以下IOC信息

驱动的符号链接名 \\.\xxxxxx
url
http://163.44.150.179/pz/config_gz.ini
http://106.75.84.24/pg/html1
http://www.dn2018.com
文件路径
%appdata%\Maybach\
%appdata%\Maybach\config.ini
%appdata%/dlzeng/config.ini
注册表
HKEY_LOCAL_MACHINE\software\driverone2019\time
HKEY_LOCAL_MACHINE\SOFTWARE\driverone2019\start

这是一个灰产驱动释放的dll,主要是用于apc注入到目标进程,会拦截浏览器进程,修改浏览器的启动参数,打开2345导航页面,2345真流氓。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值