一、样本概况
1、样本信息
MD5值:4d2320d5b7d1a45d87d843ab5ab105d8
SHA1值:8aca8fe2dfa143a3210f00df3f43d4185fefa7a3
SHA256值:b62f7e9d5d3bb7b464e7c83ec0b27f602a5f6d32baaafc53256290c34f76d076
修改时间:2022-06-11 06:46:55
编写语言:C/C++
文件大小:256 KB
壳信息:疑似压缩壳
2、样本相关文件
(1)8aca8fe2dfa143a3210f00df3f43d4185fefa7a3:样本文件
(2)30FBE2.exe(进程名为样本根据注册表信息生成):样本释放文件
(3)30FBE2.lck(文件名为样本根据注册表信息生成):样本释放文件
3、样本恶意行为
(1)样本将ShellCode进行解密,脱壳。
(2)循环读取计算机下敏感文件,如浏览器密码文件,FTP凭证信息,电子邮箱信息等。
(3)建立TCP网络连接,通过HTTP的POST方式发送收集到的用户信息,如用户名,计算机名称,浏览器密码信息等。
(4)疑似构造LLMNR内网攻击。
(5)样本根据注册表项从C:\Users\用户\AppData\Roaming目录下建立文件夹并拷贝自身;添加环境变量,隐藏所创文件夹与文件。
(6)循环监听向恶意IP地址发送链接请求和用户的敏感信息。
二、正文
1、测试工具
测试环境:Windows7 X32、Windows7 X64
工具:IDA PRO、X32dbg、火绒剑、DIE、Wireshark、PCHunter等
2、信息收集
文件类型:PE32
编译时间:62a3c9df(2022-06-11 06:46:55)
编译器:可能为VC类编译器
壳信息:初步判断有壳
子系统:Windows GUI程序
3、具体行为分析
表1 ShellCode、脱壳流程图
前置处理
1.1 释放ShellCode的代码到内存中
1.1.1申请内存:
1.1.2拷贝缓冲区(判断Shellcode大小为0x11DD0):
1.13设置Shellcode权限
1.14解密Shellcode代码
1.15 获取Shellcode代码
1.2 ShellCode脱壳。
1.2.1单步进行脱壳:
分析ShellCode中的重要函数。
表2 Sub_413866函数流程图
2.1 test.414059:网络初始化
2.2 sub_413D97、sub_4031e5:创建互斥体,防止多开
互斥体名称:80DDF75B9CAB3BE83A069816
计算互斥体:
还原互斥体算法:
2.3 sub_413003函数分析(窃取信息主要模块)
表3 Sub_41303函数流程图
2.3.1、sub_4056BF(申请内存)
2.3.2、sub_412FEB(代理执行函数)
(1)遍历大量敏感文件,查询文件是否存在,并获取敏感信息。
(2)举例函数数组中Sub_00407AA2(遍历各种浏览器的敏感目录),虚拟机中存在GOOGLE浏览器,并保持有测试网站密码。
URL:http://192.168.0.102/phpMyAdmin/
密码/账号:root/root
拼接的路径为:
2.3.3、sub_4014325(1)—>sub_004141A7(网络模块:发送获取到的敏感信息)
(1)sub_403972(获取秘钥)
(2)sub_413BCC(解密C2接受信息地址)
加密前:CEC6CBD1CEC7CFD1CBC7D1CAC7D0889A9DD09996899AD0998D9AD18F978F
解密方式:XOR 0xFF
解密后:3139342E3138302E34382E35382F7765622F666976652F6672652E706870(ASCII:194.180.48.58/web/five/fre.php)
(3)sub_405c17(获取端口:80)
(4)sub_413de8(返回发送的浏览器版本信息)
(5)sub_41406c(发送数据包)
sub_404E17创建TCP链接:
2.3.4、sub_sub_412FEB(创建目录,创建删除lck文件)
2.3.5、sub__414325(2)(进行DNS解析:纹搜吻涎饲咽切垰澬櫀墯袡崥褟棌)
初步判断可能会进行构造LLMNR和NetBIOS欺骗攻击。
2.4 sub_412b2e函数分析(文件操作)
表4 Sub_412B2E函数流程图
2.4.1、sub_40400B获取路径
2.4.2、sub_404056获取复制的目的路径
2.4.3、sub_405B6F获取复制的文件名
(1)文件夹和文件名的算法分析:
2.4.4、判断文件夹是否存在
2.4.5、sub_403c59进行文件拷贝
2.4.6、sub_412C6A->sub_412C6A写入环境变量
2.4.7、设置文件和文件夹权限
权限为:FILE_ATTRIBUTE_NOT_CONTENT_INDEXED| FILE_ATTRIBUTE_HIDDEN | FILE_ATTRIBUTE_SYSTEM
2.5 sub_412D31主要函数分析
表5 sub_412D31函数流程图
三、总结
1、样本分析结论
初步判断为窃取用户信息的木马文件
样本所属家族:疑似LokiBot
2、特征提取
MD5值:4d2320d5b7d1a45d87d843ab5ab105d8
SHA1值:8aca8fe2dfa143a3210f00df3f43d4185fefa7a3
SHA256值:b62f7e9d5d3bb7b464e7c83ec0b27f602a5f6d32baaafc53256290c34f76d076
3、手工查杀步骤
(1)使用PcHunter结束病毒程序
(2)删除注册表项HKEY_CURRENT_USER\�������������Ј��Й���Й��я��
(3) 使用PcHunter删除C:\Users\用户名\AppData\Roaming\BFFB93\30FBE2.exe(名称是病毒程序根据注册表项生成)进行强制删除。
(4)修改计算机中所有保存的账户和密码。