病毒专题丨 plugx病毒

最新推荐文章于 2023-11-14 21:32:51 发布
最新推荐文章于 2023-11-14 21:32:51 发布
阅读量158 收藏
点赞数
文章标签: 病毒 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64973256/article/details/131599325
版权
该文章详细分析了一个RAR文件中的病毒,描述了其在Win7x86系统上的行为,包括创建文件夹、设置注册表自启动、网络活动以及使用shellcode进行DLL注入和提权等恶意操作。通过对病毒本体、wsc.dll及shellcode的静态和动态分析,揭示了病毒的复制、自启动设置、权限提升、进程控制及网络通信等功能。
摘要由CSDN通过智能技术生成

一、病毒简述

之前分析了一下,分析的较为简单,这次又详细分析了一下。
文件名称
00fbfaf36114d3ff9e2c43885341f1c02fade82b49d1cf451bc756d992c84b06
文件格式
RAR
文件类型(Magic)
RAR archive data, v5
文件大小
157.74KB
SHA256
00fbfaf36114d3ff9e2c43885341f1c02fade82b49d1cf451bc756d992c84b06
SHA1
1c251974b2e6f110d96af5b23ad036954ba15e4e
MD5
c1c9624b21f71e4565b941a37db3815a
CRC32
59832D3D
SSDEEP
3072:c8BHz/pBz9AycS0lEm2DchuhmE62duNkKa2W75u57cXehC9v:cgz/pnUS5chuHfu/aTI4Xeha
TLSH
T1A8F323A63B4FFB50C74C35A6EC2B4D09068B929D14CBB6093F14C7722F5A0667D1BB92
Tags
rar,contains_pe

二、环境准备

系统版本

Win7x86

三、行为分析

打开火绒剑监控:

 

转存失败重新上传取消

可以看到这里创建了文件夹,文件夹中创建了三个文件。最后有设置了注册表自启动,并退出当前进行,启动了拷贝入新目录的进程。

 

转存失败重新上传取消

之后就是很多的网络链接。

 

转存失败重新上传取消

这里又对文件进行了创建写入移动等操作,然后一直有网络链接的操作。

四、静态分析

1、病毒本体

病毒本体拖入Ida,打开start,F5

 

转存失败重新上传取消

可以看到这里很纯洁,加载了wsc.dll,并调用run函数,我们继续调试wsc.dll中run函数。

2、wsc.dll

跟进run函数,到达后到最下面:

 

转存失败重新上传取消

这里主要是一个LocalAlloc,申请了一段空间,然后进行for循环解密赋值,随后进入100015D0函数。

转存失败重新上传取消

这是函数VirtualProtect函数,修改了内存属性,随后开始调用这段Shellcode。我们动态附加病毒,跟进run函数,记录LocalAlloc函数申请空间地址,等for循环结束之后,二进制复制拷出这段内存,在010Editor中进行保存为文件,拖到Ida中,可以发现是一个dll。

3.shellcode分析

跟进dllmain函数,到了这里:

 

转存失败重新上传取消

通过进程参数,进行不同的函数功能,首先分析case1:

3.1、case1

进入sub_100090E0:
图1:

转存失败重新上传取消

图2:

 

转存失败重新上传取消

图3:

 

转存失败重新上传取消

可以看到这里是对exe,dll,dat三个文件在系统目录中的一个拷贝过程。

转存失败重新上传取消

之后在这里设置了程序自启动,结合病毒行为分析,这里的createProcess函数是启动了拷贝之后的exe,case1第二个函数是ExitProcess函数,这里很简单很简单,就到这里。

3.2、case2


 

转存失败重新上传取消

第一个函数是创建互斥体,完事后面进行参数比较,首先看函数sub_10014580:

 

转存失败重新上传取消

这里是设置了出册表network/version为1,返回去。
函数sub_100090E0和case1中一样,继续看函数sub_100153A0:

 

转存失败重新上传取消

先看第一个函数:

 

转存失败重新上传取消

看addtoken:

 

转存失败重新上传取消

可以看到这里是一个提权操作,接下来返回去看第二个函数:

 

转存失败重新上传取消

这里有四个函数,第一个是找到传入进程名,完事通过KillProcess函数杀掉。先看第一个函数:

 

转存失败重新上传取消

退出来,返回上一层看第三个函数:

转存失败重新上传取消


 

转存失败重新上传取消进入MyFileDeleandDir:

 

转存失败重新上传取消

可以看到这里就是删除文件,删除目录等操作。返回上层,看第四个函数sub_100119A0:

 

转存失败重新上传取消

删掉注册表自启动。
返回到case2,看函数sub_100019B0:

 

转存失败重新上传取消

分析函数sub_100164D0:

 

转存失败重新上传取消

简单的创建一个窗口。看函数sub_100165A0:

 

转存失败重新上传取消

这里是获取消息并处理。DestroyWindow是销毁窗口。最后看79行MySub_0,里面是创建了一个线程,跟进去回调:

 

转存失败重新上传取消

这里简单看了一下,都是网络连接之类的和获取本机信息的操作。

3.3、case3

 

 

 

这里是文件拷贝,查找窗口发送消息,打开了shell的操作。

极安御信安全研究院
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
PlugX变体已经悄悄更改源代码且正式更名为THOR
HBohan的博客
08-23 751
在2021年3月监测Microsoft Exchange Server攻击时,Unit 42研究人员就发现了一个PlugX变体,该变体是作为漏洞利用后远程访问工具 (RAT) 传送到其中一台受感染服务器的。 Unit 42 观察到该变体的独特之处在于它包含对其核心源代码进行了更改:将 “PLUG”替换为“THOR”。最早发现的 THOR 样本是 2019 年 8 月,它是已知最早的更名代码后的样本。在此变体中观察到了新功能,包括增强的有效载荷传送机制和滥用受信任的二进制文件。 PlugX 于 2008 年首
Webpack插件是如何编写的——prerender-spa-plugin源码解析
weixin_42899690的博客
10-03 422
概述 本文主要的内容是通过之前使用的prerender-spa-plugin插件的源码阅读,来看下我们应该如何编写一个webpack的插件,同时了解下预渲染插件到底是如何实现的。 这个内容其实已经在使用prerender-spa-plugin里面有所涉及了,这一章的内容算是对之前一篇文章的补充和拓展,详细介绍下Webpack的插件机制到底是如何运行的,之前写的简单的替换的插件生效的原理到底是什么。 如果大家还没有看之前的如何使用prerender-spa-plugin插件对页面进行预渲染这篇文章,可以
APT样本分析 -plugx家族RAT⽊⻢
人饭子的博客
11-06 948
APT样本分析 - plugx家族RAT⽊⻢ ⼀、样本概述 样 本 从 海 莲 花 服 务 器 扒 下 来 的 ( 经 提 醒 修 改 , 原 先 错 误 归 类 为 海 莲 花 ) , wsc_proxy.exe执⾏后加载wsc.dll解密wsc.dump⽂件,得到攻击模块(dll),攻击模块注⼊⾃身到系统进程后连接远控服务器上线,接收执⾏远控功能。远控功能包括:管 理系统、⽂件、屏幕、进程、...
Pluggy源码解读----hook函数调用执行过程分析
redrose2100的博客
11-11 1174
本文详细介绍了hook函数调用执行过程分析
屡禁不止:一个敢于将自己注入到杀毒软件中的斗士
weixin_34290390的博客
09-14 739
本文讲的是屡禁不止:一个敢于将自己注入到杀毒软件中的斗士, PlugX恶意软件可以算是攻击界的老前辈了,自2012年被曝光以来,它就以各种形式被黑客利用,截至目前它还一直活跃在攻击的最前沿。关于其长盛不衰的攻击功能,已经有很多个机构对其进行了研究,比如: 1.由Circl机构发布的“TR-12-用于针对性攻击的PlugX恶意软件变体的分析”。 2.由...
一例plugx样本的分析(AcroRd32cWP)
好好学习,天天向上
11-14 572
这个plugx样本是一个典型摆渡型窃密木马,使用分离免杀和白加黑侧加载的方式来躲避检测。解密后的payload是一个反射型的dll,有点像CS的beacon。样本中的api地址都是使用LoadLibrary和GetProcAddress来获取,给静态分析带来很大的工作量。通过U盘进行传播,远控模块比较复杂,目前C2地址已经失效了,但是对于隔离网用户来说,还是有一定的失泄密隐患。
Plug X-crx插件
04-02
语言:English Plug.DJ的高级功能 无缝集成使您可以在不伤脑筋的情况下为Plug.DJ增压。 Plug X提供了市场上所有扩展中最多的功能。 市场上的第一个也是唯一一个扩展,具有完全实现的聊天弹出窗口和表情符号建议。...
volatility_plugins:波动性插件
06-09
PlugX 配置提取是插件的分支和更新,位于 支持更多配置大小并移至 ctypes 结构以解析配置 blob。 Andromeda 配置提取插件将尝试定位和提取 C2 URL、用于初始通信的 RC4 密钥以及 phone-home 格式字符串中的参数 ...
mandiant-apt1-report.pdf_Mandiant_APT1_
10-01
3. **工具和战术**:APT1拥有一个庞大的恶意软件库,包括但不限于Poison Ivy、PlugX等知名远程访问木马(RAT)。这些工具允许攻击者远程控制受感染系统,执行各种恶意操作。APT1还会定期更新其工具集,以适应安全...
世界上最著名也最危险的APT恶意软件清单
qq_45348734的博客
07-29 1236
本文尝试列举出由各国军事情报处的网络安全部门开发的最危险、最有效也是最闻名的恶意软件清单,其中有些可以说早已盛名在外,另一些可能你还没听过……然而这正是它最危险之处。 一、Regin Regin被认为是有史以来国家级最先进的恶意软件系列,由NSA开发,并与其五眼联盟合作伙伴(主要是GCHQ)共享。 在2014年被公开披露,但最早的样本可以追溯到2011年,但也有一些人怀疑Regin早在2003年...
TA416 APT使用新的Golang版本的PlugX恶意软件加载程序进行钓鱼攻击
systemino的博客
11-26 441
TA416 APT使用新的Golang版本的PlugX恶意软件加载程序,对从梵蒂冈到非洲的外交官等一系列受害者进行了鱼叉式网络钓鱼攻击。 TA416高级持续威胁(APT)攻击者又回来了,在经历了一个月的沉寂后,该小组被发现使用从未见过的PlugX恶意软件加载程序Golang变体发动鱼叉式网络钓鱼攻击。 TA416,也称为“Mustang Panda”或 “RedDelta”,最近在针对与梵蒂冈和中国建交的外交部以及缅甸外交部的活动中被发现,最近还发现该组织针对非洲外交部。 在对这些攻击的进一步分析..
RedLeaves和PlugX恶意软件是如何工作的?
weixin_33786077的博客
08-01 296
国家网络安全和通信集成中心了解到针对各个垂直行业的多种恶意软件植入,包括RedLeaves和PlugX。这些恶意软件是如何工作的?我们该如何应对? Judith Myerson:攻击者利用系统管理员的身份启动多种恶意软件,包括RedLeaves和PlugX。它们使用开放源代码PowerSploit,这是一个PowerShell工具,以供渗透测试人员攻...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8374
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
NET语言程序设计课件-第2章 Visual C#.NET语法基础.ppt
最新发布
08-08
Visual C# .NET是一门面向对象的程序设计语言,是当前流行的.NET系列的语言。 本课程以Visual Studio为程序设计环境,对C#进行了全面阐述。 本电子课件适用于课程讲解或者课程分析参考使用。
[毕业设计]PHP图书借阅与归还管理系统(源代码+论文).zip
08-08
[毕业设计]PHP图书借阅与归还管理系统(源代码+论文)
ssm_012_mysql宝康药房销售管理系统.zip
08-08
随着我国市场经济的蓬勃发展和人们对医药产品需求的迅速增加,医药销售行业正处于一个高速发展的时期。行业的快速发展必然导致竞争的加剧,面对药品销售业日益严酷的竟争现实,加强管理、提高工作效率和改善服务质量成了急待解决的问题。而解决这些问题的关键措施之一就是利用计算机等现代信息技术,建立实用、先进、高效的药房销售管理系统,引进创新的经营机制,实现药品销售过程的全面信息化管理,以适应企业生存和发展的新形势。因此,开发一个宝康药房销售管理系统是十分必要的。 根据需求,确定系统采用JSP技术,SSM框架,JAVA作为编程语言,MySQL作为数据库。整个系统要操作方便、易于维护、灵活实用。主要实现了频道维护、新闻维护、药品维护、订单维护、系统管理等功能。
excel基本操作.pptx
08-08
excel基本操作.pptx
[毕业设计]PHP物业管理系统网站开发(源代码+论文).zip
08-08
[毕业设计]PHP物业管理系统网站开发(源代码+论文)
论坛挂马事件:黑客利用Flash漏洞控制用户电脑
攻击者首先利用了当时Adobe Flash Player的一个名为CVE-2015-5122的严重漏洞,通过在热门帖子中插入恶意Flash元素,诱导用户点击,进而下载并执行木马程序PlugX,该木马能够远程控制受害者的计算机。 攻击者采用了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

极安御信安全研究院

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值