J-0-样本分析报告

最新推荐文章于 2024-01-29 12:24:17 发布

SlowWalkerJ

最新推荐文章于 2024-01-29 12:24:17 发布

阅读量112

点赞数

分类专栏：样本分析报告文章标签：安全威胁分析

本文链接：https://blog.csdn.net/lp131422/article/details/131743740

版权

样本分析报告专栏收录该内容

1 篇文章 0 订阅

订阅专栏

一、样本概况

1、样本信息

MD5值：4d2320d5b7d1a45d87d843ab5ab105d8
SHA1值：8aca8fe2dfa143a3210f00df3f43d4185fefa7a3
SHA256值：b62f7e9d5d3bb7b464e7c83ec0b27f602a5f6d32baaafc53256290c34f76d076
修改时间：2022-06-11 06:46:55
编写语言：C/C++
文件大小：256 KB
壳信息：疑似压缩壳

2、样本相关文件

（1）8aca8fe2dfa143a3210f00df3f43d4185fefa7a3：样本文件
（2）30FBE2.exe（进程名为样本根据注册表信息生成）：样本释放文件
（3）30FBE2.lck（文件名为样本根据注册表信息生成）：样本释放文件

3、样本恶意行为

（1）样本将ShellCode进行解密，脱壳。
（2）循环读取计算机下敏感文件，如浏览器密码文件，FTP凭证信息，电子邮箱信息等。
（3）建立TCP网络连接，通过HTTP的POST方式发送收集到的用户信息，如用户名，计算机名称，浏览器密码信息等。
（4）疑似构造LLMNR内网攻击。
（5）样本根据注册表项从C:\Users\用户\AppData\Roaming目录下建立文件夹并拷贝自身;添加环境变量，隐藏所创文件夹与文件。
（6）循环监听向恶意IP地址发送链接请求和用户的敏感信息。

二、正文

1、测试工具

测试环境：Windows7 X32、Windows7 X64
工具：IDA PRO、X32dbg、火绒剑、DIE、Wireshark、PCHunter等

2、信息收集

文件类型：PE32
编译时间：62a3c9df(2022-06-11 06:46:55)
编译器：可能为VC类编译器
图片1.png 图片2.png
壳信息：初步判断有壳图片3.png
子系统：Windows GUI程序
图片4.png

3、具体行为分析

图片5.png
表1 ShellCode、脱壳流程图

前置处理

1.1 释放ShellCode的代码到内存中

1.1.1申请内存：

图片6.png

1.1.2拷贝缓冲区（判断Shellcode大小为0x11DD0）：

图片8.png

1.13设置Shellcode权限

图片9.png

1.14解密Shellcode代码

1.15 获取Shellcode代码

1.2 ShellCode脱壳。

1.2.1单步进行脱壳：

分析ShellCode中的重要函数。

图片17.png
表2 Sub_413866函数流程图
图片18.png

2.1 test.414059:网络初始化

图片19.png

2.2 sub_413D97、sub_4031e5:创建互斥体，防止多开

互斥体名称：80DDF75B9CAB3BE83A069816
计算互斥体：
图片20.png 图片21.png 图片22.png 图片23.png

还原互斥体算法：

图片24.png 图片25.png 图片26.png

2.3 sub_413003函数分析（窃取信息主要模块）

图片27.png
表3 Sub_41303函数流程图

2.3.1、sub_4056BF(申请内存)

2.3.2、sub_412FEB（代理执行函数）

（1）遍历大量敏感文件，查询文件是否存在,并获取敏感信息。
图片28.png 图片29.png
（2）举例函数数组中Sub_00407AA2（遍历各种浏览器的敏感目录），虚拟机中存在GOOGLE浏览器，并保持有测试网站密码。
URL：http://192.168.0.102/phpMyAdmin/
密码/账号：root/root
图片30.png

拼接的路径为：

图片31.png 图片32.png 图片33.png 图片34.png 图片35.png

2.3.3、sub_4014325（1）—>sub_004141A7（网络模块：发送获取到的敏感信息）

（1）sub_403972(获取秘钥)
（2）sub_413BCC(解密C2接受信息地址)
加密前：CEC6CBD1CEC7CFD1CBC7D1CAC7D0889A9DD09996899AD0998D9AD18F978F
解密方式：XOR 0xFF
解密后：3139342E3138302E34382E35382F7765622F666976652F6672652E706870（ASCII：194.180.48.58/web/five/fre.php）
图片36.png
（3）sub_405c17(获取端口：80)
图片37.png
（4）sub_413de8（返回发送的浏览器版本信息）
图片38.png
（5）sub_41406c(发送数据包)
sub_404E17创建TCP链接：
图片39.png 图片40.png 图片41.png 图片42.png

2.3.4、sub_sub_412FEB（创建目录，创建删除lck文件）

图片43.png 图片44.png 图片45.png 图片46.png

2.3.5、sub__414325（2）（进行DNS解析：纹搜吻涎饲咽切垰澬櫀墯袡崥褟棌）

图片47.png 图片48.png
初步判断可能会进行构造LLMNR和NetBIOS欺骗攻击。

2.4 sub_412b2e函数分析(文件操作)

图片49.png
表4 Sub_412B2E函数流程图

2.4.1、sub_40400B获取路径

图片50.png

2.4.2、sub_404056获取复制的目的路径

图片51.png

2.4.3、sub_405B6F获取复制的文件名

(1)文件夹和文件名的算法分析：图片53.png 图片54.png 图片55.png

2.4.4、判断文件夹是否存在

图片56.png

2.4.5、sub_403c59进行文件拷贝

图片57.png 图片58.png 图片59.png

2.4.6、sub_412C6A->sub_412C6A写入环境变量

图片60.png 图片61.png

2.4.7、设置文件和文件夹权限

图片62.png 图片63.png
权限为：FILE_ATTRIBUTE_NOT_CONTENT_INDEXED| FILE_ATTRIBUTE_HIDDEN | FILE_ATTRIBUTE_SYSTEM
图片64.png

2.5 sub_412D31主要函数分析

图片65.png
表5 sub_412D31函数流程图
图片66.png

三、总结

1、样本分析结论

初步判断为窃取用户信息的木马文件
样本所属家族：疑似LokiBot

2、特征提取

MD5值：4d2320d5b7d1a45d87d843ab5ab105d8
SHA1值：8aca8fe2dfa143a3210f00df3f43d4185fefa7a3
SHA256值：b62f7e9d5d3bb7b464e7c83ec0b27f602a5f6d32baaafc53256290c34f76d076

3、手工查杀步骤

（1）使用PcHunter结束病毒程序
（2）删除注册表项HKEY_CURRENT_USER\��Ј��Й��Й��я��
（3）使用PcHunter删除C:\Users\用户名\AppData\Roaming\BFFB93\30FBE2.exe(名称是病毒程序根据注册表项生成)进行强制删除。
（4）修改计算机中所有保存的账户和密码。