一、 样本发现:
蜜罐
二、 内容简介:
通过公司的蜜罐告警发现一个Nev-3.exe可执行文件文件,对该样本文件进行分析发现,该可执行程序执行后会从远程服务器http://194.146.84.2:4395/下载一个名为“3”的压缩包,解压后也是Nev-3.exe文件,文件下载地址194.146.84.2在微步威胁情报社区查询后,发现发现两个通信样本Nev-3.exe、记录表d3.rar,经过分析两个样本行为人特征一致。样本运行后释放到目录“C:\Users\Public\Music\”
下,随后执行目录中的恶意文件 AntiAdwa.exe,AntiAdwa运行后会向服务端发送保活连接,等待服务端下发指令,从而实现远程控制行为。
三、 分析研判
3.1 样本获取
蜜罐下载样本文件Nev-3.exe,文件hash值如下:
md5: de1cde20941be48bcf6c2b6b663393a2
sha1: 0a8b22faee05998b05169e0e6190108c6d72021d
sha256: 1142e91de910f5cc3c6bda635b990d6c28142b1818fd21ccb1257b77b75338f8
图1 样本示例
该样本在微步在线情报IOC已被标记为恶意软件(高危)。
图2 样本威胁情报IOC查询
3.2 样本分析
(1)静态分析
使用IDA
打开进行分析后发现Nev-3.exe是一个加载程序,文件运行后会产生一个无运行界面的掩藏程序,该进程的主要作用是判断进程中是否存在AntiAdwa.exe进程。
图3 样本程序入口函数
图4 程序自动检测是否存在AntiAdwa.exe进程
如果不存在存在AntiAdwa.exe进程,则从远程文件服务器:194.146.84.2:4395下载文件。
图5 样本内置远程C2地址194.146.84.2:4395
(2)使用wireshark抓包分析。
将Nev-3.exe程序在本地运行后,使用wireshark进行抓包可看见有大量的可疑tcp连接。