HVV期间遇到一个钓鱼样本,用IDA简单分析下样本逻辑及C2信息。
样本未做加壳处理,直接IDA打开,逻辑比较清晰,采用白加黑的方式进行免杀。
涉及四个资源,跟进sub_140001000函数可以看到资源路径。
用ResourceHacker打开,保存INSTALL中的二进制信息,可以看到其中有四个文件,
分别对应主程序中的资源ID。两个黑文件,136->viewer.dll,135->log.dat,把dll恶意样本保存下来继续分析。
可以看到shellcode的处理主要涉及到这两块。
跟进sub_180002C60分析,逻辑非常复杂,给人看一眼就想放弃的感觉,而事实上很简单。文件大小作为输入参数,log.dat的字节数为0x40403,根据文件大小确定分支是直接内存copy,不做任何修改,差点被吓到。
之后的解密就简单了,写了个脚本跑了下。
v17 = 1
with open('log.dat','rb') as f:
k = f.read()
filesize = len(k)
v22 = k
m = bytearray(filesize)
eax = 0
for i in range(filesize):
v17 = (v17+3) << 21
eax = v17>>20
m[i] = (v22[i] ^ (eax & 0x0000ffff))
with open('decode','wb') as f:
f.write(m)
解出来shellcode,二进制查看,很明显的CS payload,CS的马网上分析的很多,需要对其进行解密加载,不再累述。
下面就是shellcode中提取IOC数据,这里我简单写了个shellcode加载器,动态执行跟进即可,静态解密完全玩不转,放弃了,并且动态执行已风险可控。
// shellcode_loader.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。
#include "pch.h"
#include <iostream>
#include "windows.h"
using namespace std;
/* length: 798 bytes */
const char shellcode[263171] = {0x90, 0x90, 0x90, 0x4d, 0x5a, 0x41, 0x52, 0x55, 0x48, 0x89, 0xe5,...};/*写入上述shellcode字节码*/
const int shellcode_length = 263171;
int main(int argc, char **argv)
{
void *exec = VirtualAlloc(0, sizeof shellcode, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
memcpy(exec, shellcode, sizeof(shellcode));
((void(*)())exec)();
return 0;
}
扔到x64dbg中动态执行,可以看到相关C2地址: