对某钓鱼样本分析

HVV期间遇到一个钓鱼样本，用IDA简单分析下样本逻辑及C2信息。

样本未做加壳处理，直接IDA打开，逻辑比较清晰，采用白加黑的方式进行免杀。

涉及四个资源，跟进sub_140001000函数可以看到资源路径。

用ResourceHacker打开，保存INSTALL中的二进制信息，可以看到其中有四个文件，

 分别对应主程序中的资源ID。两个黑文件，136->viewer.dll,135->log.dat，把dll恶意样本保存下来继续分析。

 可以看到shellcode的处理主要涉及到这两块。

跟进sub_180002C60分析，逻辑非常复杂，给人看一眼就想放弃的感觉，而事实上很简单。文件大小作为输入参数，log.dat的字节数为0x40403，根据文件大小确定分支是直接内存copy，不做任何修改，差点被吓到。

之后的解密就简单了，写了个脚本跑了下。 

v17 = 1
with open('log.dat','rb') as f:
    k = f.read()
    filesize = len(k)
v22  = k
m = bytearray(filesize)
eax = 0
for i in range(filesize):
    v17 =  (v17+3) << 21
    eax = v17>>20
    m[i] = (v22[i] ^ (eax & 0x0000ffff))
with open('decode','wb') as f:
    f.write(m)

解出来shellcode，二进制查看，很明显的CS payload，CS的马网上分析的很多，需要对其进行解密加载，不再累述。

下面就是shellcode中提取IOC数据，这里我简单写了个shellcode加载器，动态执行跟进即可，静态解密完全玩不转，放弃了，并且动态执行已风险可控。

// shellcode_loader.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。
#include "pch.h"
#include <iostream>
#include "windows.h"
​
using namespace std;
/* length: 798 bytes */
const char shellcode[263171] = {0x90, 0x90, 0x90, 0x4d, 0x5a, 0x41, 0x52, 0x55, 0x48, 0x89, 0xe5,...};/*写入上述shellcode字节码*/
const int shellcode_length = 263171;
​
int main(int argc, char **argv)
{
    void *exec = VirtualAlloc(0, sizeof shellcode, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
    memcpy(exec, shellcode, sizeof(shellcode));
    ((void(*)())exec)();
    return 0;
}

扔到x64dbg中动态执行，可以看到相关C2地址：