本文详细分析了一个恶意样本,它作为更新下载器,运行后自动启动浏览器并创建特定进程。通过IDA工具,深入研究其利用API枚举进程、查找目标,提升权限并复制执行文件到临时目录。样本还会从网络下载额外文件并执行,疑似用于更新相关模块。但由于网络不可达,未能进一步下载。
恶意样本分析–更新下载器分析
这个样本是一个更新模块,运行程序后会自动下载相关的模块并且自动运行。
现象
程序运行后,启动了浏览器,同时看到创建了一个名为wupdmgr.exe的进程
由于我的环境设置了过了,网络没有打开,之后进程wudpmgr.exe会自动退出
分析
分析母体
使用ida打开样本后,首先获取EnumProcessModules,GetModuleBaseNameA,EnumProcess三个APIs的函数指针
接着调用EnumProcess函数枚举进程并调用sub_401000查找目标进程
进入到sub_401000函数分析后知道,主要是通过EnumProcessModules获取所有加载的模块,然后通过GetModuelBaseNameA获取模块名称和winlogon.exe进行对比
判断结果相等,程序会跳过外层的循环判断,进入到sub_401174的调用
进入到sub_401174的调用后,程序会提升程序的权限
修改权限完成后,开启一个线程将SeDebugPrivilege设置给线程执行
SeDebugPrivilege具体参考(https://medium.com/palantir/windows-privilege-abuse-auditing-detection-and-defense-3078a403d74e)
接着将C:\Windows\system32\wupdmgr.exe复制到%tmp%\winup.exe
复制到tmp目录下的winup.exe文件
复制完成后,接着将资源文件内的数据写入到wudpmgr.exe内
提取这个文件保存为payload.exe
继续往下分析,此时运行中的内存数据
复制成功后调用WinExeC函数启动这个程序,因此看到的进程名为wudpmgr.exe
分析payload
程序启动payload.exe后,程序会将%tmp%\winup.exe启动
之后会从网络http://www.practicalmalwareanalysis.com/updater.exe下载update.exe到本地的wupdmgr.exe
最后会启动这个程序
尝试从这个站点下载程序,发现已经不存在了,到这就分析完了。
总结
程序在运行后会将winupdmgr.exe复制到%tmp%\winup.exe之后会复制资源文件内的pe文件到winupdmgr.exe下,之后创建进程执行这个程序,程序会从指定的网络下载一个update.exe程序,猜测这个程序应该是一个更新器,负责更新相关的模块。
扫一扫
3507
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
