贪吃蛇变种样本分析
TQ
md5:8296e188b3d8d564c388343aa7750148
创建进程执行MSSHQL.exe,判断是否是管理员权限。
管理员权限:内置的PE释放到同路径下,名称为MSSHQL.exe,执行MSSHQL.exe
非管理员账户:
64位系统下将内置的PE文件MS19.exe、MS20.exe释放的到样本同文件夹下,执行。
MS19.exe、MS20.exe为提权工具。提权后执行MSSHQL.exe。
MS19.exe 获得SeImpersonate或SeAssignPrimaryToken权限,提升为system权限。
pdb C:\Users\Administrator\source\repos\juicy-potato-master\JuicyPotato\Release\x64\JuicyPotato.pdb
Juicy Potato是一个本地特权提升工具
MS20.exe
MSSQLH.exe分析
无壳:
解密一些字符串
进入关键函数sub_4016f0
判断系统是64位还是32位,释放不同的内置PE文件到C:\Windows\Logs\RunDllExe.dll
设置注册表键值,实现持久化权限维持。
Spooler(打印后台处理服务)的进程名是spoolsv.exe。下次重新启动时,spoolsv.exe进程将加载Monitors注册表项中存在并存储在Windows文件夹System32中的所有驱动程序DLL文件
禁用Windows Defender
设置注册表键值SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware
已隐藏窗口的方式创建进程,执行命令
关闭本机的135,139,445端口,防止其他远控木马或NSA武器库入侵进来。
对以下进程提权,主要提升如下权限:SeRestorePrivilege,SeBackupPrivilege,SeSecurityPrivilege,SeTakeOwnershipPrivilege
创建进程,以激活窗口并以当前大小和位置显示窗口的方式执行命令实现自删除,。"C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe Start-Sleep -s 2;del “C:\Users\Administrator\Desktop\大灰狼\TQ\MSSQLH.exe”
RunDllExe.dll
内置PE文件,注入到svchost.exe进程中。
提取PE分析
创建线程下载
保存为
C:\WINDOWS\Temp\MpMgSvc.dll
C:\WINDOWS\Temp\MpMgSvc.exe
C:\Windows\Microsoft.NET\Framework\v3.0\WmiPrvSER.exe
MpMgSvc.dll
MpMgSvc.dll 文件头部伪装为BMP图片头部,实际是PE文件。
连接C2 根据不同指令执行操作,包括检索服务信息,设置服务,获取会话,用户信息,关闭指定进程,断开注销会话等操作。
MpMgSvc.exe
键盘记录
传输音频
内置的PE释放出以下文件,
执行命令,利用ms17010漏洞获取shell后将x64.dll x86.dll 注入到 lsass.exe中。
连接ip.txt里的 C2
x64.dll x86.dll
shell_open.exe
内置64位pe和32位,dump下来分析都将自身内置的pe2注入到svchost中
内置PE2 dump分析
从 hxxp://down.ftp21.cc/64.jpg hxxp://down.ftp21.cc/32.jpg下载到C:\Windows\Microsoft.NET\Framework\v3.0\WmiPrvSER.exe
执行C:\Windows\Microsoft.NET\Framework\v3.0\WmiPrvSER.exe -a gr -o pool.330com.com:5555 --tls -u RGeeE8GuwY2Myjy29wMZmm5Z2V5fbvBhdg -p x --max-cpu-usage=50
WmiPrvSER.exe
WmiPrvSER.exe为基于开源xmrig的挖矿程序。