导语
情况说明:该样本存在一定的环境监测,不加处理直接,在虚拟机分析,不会完全复现样本行为。
样本获取地址:
链接:https://share.weiyun.com/5BMWxRZ 密码:e94gnn
1 沙箱检测
这里沙箱并未检测出样本具有反虚拟机的特征
![2b388f4ab6cd8ee65b11701eaf1629c6.png](https://img-blog.csdnimg.cn/img_convert/2b388f4ab6cd8ee65b11701eaf1629c6.png)
2 分析详情
相关关键点批注
这里称该进程为第一进程
![2c0ea9f0f7983a4adf8168c7df0d070c.png](https://img-blog.csdnimg.cn/img_convert/2c0ea9f0f7983a4adf8168c7df0d070c.png)
首先样本具有自解密功能
样本会通过CreateToolhelp32Snapshot枚举进程,并将进程名保存在一个全局数组中,期间发现进程名大于0x40会终止运行
后面会通过通过比对进程名数组检测杀软和调试器(windbg,ollydbg)
会检测样本路径是否带有敏感字符串(sandbox,sample)
通过cpid的0号功能检测虚拟机
在一系列检查之后,会创建傀儡进程, 其创建过程为:
1. 一挂起模式创建自生
![35a4c499670357875c2e8890522b962e.png](https://img-blog.csdnimg.cn/img_convert/35a4c499670357875c2e8890522b962e.png)
2. 调用ZwUnmapViewOfSection清空内存空间
![abeeb2d52f100f58c0e18a78b53034ee.png](https://img-blog.csdnimg.cn/img_convert/abeeb2d52f100f58c0e18a78b53034ee.png)
3. 调用VritualAlloc重新分配内存,并写入
![a3153321e4c134dfa15e78e1422f9190.png](https://img-blog.csdnimg.cn/img_convert/a3153321e4c134dfa15e78e1422f9190.png)
4. 获取context并将入口点设置为payload处
![b07a3f736f7c0656727ba4715fa76a2e.png](https://img-blog.csdnimg.cn/img_convert/b07a3f736f7c0656727ba4715fa76a2e.png)
5. 调用ZwResumeThread
![a40663ee46cc5d617d2d0d455da5ecf5.png](https://img-blog.csdnimg.cn/img_convert/a40663ee46cc5d617d2d0d455da5ecf5.png)
6. 利用pchunter,dump可执行区段
![178b99465724c1838c114aa2bc8b885d.png](https://img-blog.csdnimg.cn/img_convert/178b99465724c1838c114aa2bc8b885d.png)
pchunter dump下的PE文件可以直接执行,这里称该PE文件的进程为第二进程,第二进程与第一进程采用相似的过程,会执行相同的检测过程,检测调试器,虚拟机等,第二进程同样会使用傀儡进程技术创建第三个进程,第三进程的PE文件也是保存在第二进程的内存中,同样通过pchunter dump内存调试分析
![597399a15a25abf884ea1370e4003091.png](https://img-blog.csdnimg.cn/img_convert/597399a15a25abf884ea1370e4003091.png)
第三进程相对简单,获取了一些系统信息后依旧会从进程的内存中拉起第四个进程
第四进程的PE文件带有UPX的加壳特征,经调试发现,该壳与常规UPX不同,在代码段解压前,该进程自建了IAT表
![e13708c4593a9806af3b9cb220594efc.png](https://img-blog.csdnimg.cn/img_convert/e13708c4593a9806af3b9cb220594efc.png)
第三进程会拉起第四个进程,第四进程也就是我们要找的真正的后门程序,该进程是一个.NET程序,需要安装.net framework3.5环境,
![44354fd2d2678e373d8a9fd0f56e08d5.png](https://img-blog.csdnimg.cn/img_convert/44354fd2d2678e373d8a9fd0f56e08d5.png)
2 后门实现
第四进程启动后会有一些注册表操作:
将 HKCU\Environment\SEE_MASK_NOZONECHECKS
置1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced 置1 隐藏具有隐藏属性的文件
添加启动项,实现开机自启,写入位置在
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\219c68a1cfca14f7e20329e3a12fee55
![abd71a0d3d633af59a58246b79237ad9.png](https://img-blog.csdnimg.cn/img_convert/abd71a0d3d633af59a58246b79237ad9.png)
记录键盘输入,保存在
HKCU\Software\219c68a1cfca14f7e20329e3a12fee55\kl
![a8fad62b5abde262ea2bc79fa58c4301.png](https://img-blog.csdnimg.cn/img_convert/a8fad62b5abde262ea2bc79fa58c4301.png)
![38a7e3093b529e9cf635701293107e61.png](https://img-blog.csdnimg.cn/img_convert/38a7e3093b529e9cf635701293107e61.png)
添加防火墙策略,命令为:
netsh firewall add allowedprogram"C:\Users\13786\AppData\Local\Temp\WINWORD.exe" "WINWORD.exe" ENABLE
将自身拷贝到
C:\Users\13786\AppData\Local\Temp\ 目录下
后门功能:除键盘记录外,还有自更新
![0d97a3fef1b472e5d2faebdd6305c6b6.png](https://img-blog.csdnimg.cn/img_convert/0d97a3fef1b472e5d2faebdd6305c6b6.png)
痕迹清除
![18fe9d70141d854ba8331d683d3e3882.png](https://img-blog.csdnimg.cn/img_convert/18fe9d70141d854ba8331d683d3e3882.png)
还有其他实现命令执行的相关实现,这里不一一举例。
![c1c71acaefc595f17178657fc0403ccc.gif](https://img-blog.csdnimg.cn/img_convert/c1c71acaefc595f17178657fc0403ccc.gif)
![01445073b7072c1e5ca6fcc6e397c65f.png](https://img-blog.csdnimg.cn/img_convert/01445073b7072c1e5ca6fcc6e397c65f.png)
长
按
关
注
三叶草小组公众号
微信号 : 三叶草小组Syclover
新浪微博:@三叶草小组Syclover
在与你相遇的路上马不停蹄~
![b6babbf210af85179cfe0feed3832ac1.png](https://img-blog.csdnimg.cn/img_convert/b6babbf210af85179cfe0feed3832ac1.png)