-
-
[原创]steup_H164_1恶意软件分析——静态分析
-
发表于: 2014-12-27 17:05
-
steup_H164_1恶意软件分析报告
下面是目标分析软件的网盘URL,这是一个被杀毒软件查杀软件,所以建议有兴趣的在虚拟机上对其进行各种分析。
http://pan.baidu.com/s/1kTrB71d
基本信息
报告名称:steup_H164_1恶意软件分析
作者:精灵(^_^)/淘气鬼
报告更新日期:2014.12.25
样本发现日期:2014.12.20
样本类型:.exe文件
样本名称:steup_H164_1.exe
样本大小:4.1M
样本文件的MD5 校验值:ed0555226234766ba5aa4e6e2c1aea95 steup_H164_1.exe
样本文件的SHA1 校验值:
壳信息:PEid(什么都没找到 [Overlay] *)
可能受到威胁:
相关漏洞:
已知检测名称:
相关杀毒软件查杀信息:
简介:(简短概括)
例如:XXXX文件是一个针对PTP软件用户,控制系统/窃取系统或者用户信息/还是给系统安装什么软件
被感染系统
例如系统变得迟缓,打开资源管理器查看打开的进程是否有后台运行的进程,每次开机时候都会自动执行某个异常的程序。
系统文件变化
例如:系统目录某个文件被创建或者修改。
注册表变化:
注册表被修改。
网络症状
网络是否变得更加缓慢,某些端口是否被监听,是否会经常像某个目标IP发送信息,或者下载数据包
目标样本的详细分析流程,步骤及实现的功能
静态分析:
1. 没有足够留意该文件,就很容易认为这个文件就是一个压缩文件,但它确实是一个.exe应用程序(这是文件制作着的一种浅显但又有成效的欺骗方法,这种方法我之前已经说过),然就双击进行解压,该程序就被激活执行了。该程序图标如图1:
2. 用strings静态扫面一下目标文件,因为目标文件有4.3M,所以扫描出来的字符串过于庞大,不便于查找,所以用其他软件做初步静态扫描。
3. 用dependency walker打开目标文件。
首先看到kernel32.dll的如下调用函数,这是一个包含核心功能,如访问和操作内存,文件,硬件的动态链接库。
GetCPInfoEx:要获取有关有效安装或可用的代码页的其他信息;
创建一个新的目录。如果底层的文件系统支持的安全上的文件和目录,该功能可将指定;
FileTimeToSystemTime:获取系统时间;
CreateDirectoryEx:的安全描述符的新目录。要指定一个模板目录,使用CreateDirectoryEx功能。执行此操作的事务操作,使用CreateDirectoryTransacted功能;
CreateFileA、CreateFileW:进行文件创建;
DeleteFileW:进行文件删除;
FindFirstFileW、FindNextFileW遍历查找文件;
FlushFileBuffers:刷新一个指定文件的缓冲区,并导致所有缓冲的数据将被写入到文件中;
User32.dll它是一个包含用户界面组件,按钮,控制和响应用户操作的动态链接库。
SendMessageW:发送消息
SetWindowsHookExW:安装一个应用程序定义的钩子程序到钩子链。你会安装一个钩子程序,监控系统对某些类型的事件。这些事件或者与一个特定的线程或具有在相同的桌面与调用线程的所有线程相关联。
UnhookWindowsHookEx:移除安装在钩链由SetWindowsHookEx函数的钩子程序(一般会结合SetWindowsHookExW一起使用)
ADVAPI32.DLL,是一个高级API应用程序接口服务库的一部分,包含的函数与对象的安全性,注册表的操控以及事件日志有关
RegCreateKeyEx:创建指定的注册表项。如果键已经存在,函数打开它。键名不区分大小写。
RegDeleteKeyW:删除制定的注册表项。
shell32.dll是Windows的32位外壳动态链接库文件,用于打开网页和文件,建立文件时的默认文件名的设置等大量功能
DragFinish:系统分配用于传输文件名的应用程序DragFinish函数释放内存。
ShellExecuteW:用于执行另外一个程序,如果目标文件在创建一个新进程,还需要进一步跟进分析新进程。
URLMON.DLL,它在winsock 的基础上封装了HTTP, FTP, WWW 的协议的动态链接库,里面集合与URL相关的API。
URLDownloadToFileW:这是一个实现UEL链接然后实现自动下载功能的函数,这说明目标软件只要运行并且链接网络就会到指定的URL上下载相关的资源,然后再实现下一个目标操作(一般下载然后自动安装)。
WININET.DLL:这是一个DLL包含了更高层次的网络函数的动态链接库,实现了如FTP,HTTP,NET等协议。
DeleteUrlCacheEntryW:实现删除URL缓存,清除网络连接协议
InternetOpenW:打开互联联网
InternetOpenUrlW:链接指定的URL
初步结论1:.exe程序在被激活运行时,需要联到互联网,然后到指定的URL链接上下载相关的文件,然后进行(安装)运行现在下来的软件。具体是下载什么文件还需接下来使用其他工具进行分析。因为这也符合相关的逻辑思维:现在一般的恶意软件都是配套存在,现在为止一个.exe文件现在很难实现黑客的全部功能(现在也有.exe程序,他其实就是一个压缩文件,双击之后将会加压出一个文件包,如果解压之后接着运行解压出来的程序或许将是接下来的技术趋势)。
4. 使用PEView工具对其进行分析,初步任务是找出打开互联网然后连接到的URL地址是哪里,然后在浏览器上打开相关的URL链接,看看目标网页是什么……
在CERTIFICATE Table里面查到了几个比较关键的域名
用浏览器打开http://crl.certum.pl/这个域名,发现里面挂满相关的文件。这或许就是他们要下载的文件?貌似有点不像。因为里面都是一些数字签名认证书。如图2:
再打开http://repository.certum.pl/鼠标指向页面框中的第一个按钮就会出现http://repository.certum.pl/ctnca.cer0,这里面是一个文件。如图3:
5. 使用resource hacker工具看还能得到什么信息。
没有找到什么有价值的信息,但是在里面的JPG图标中发现一个毕竟经常出现的几个网址:http://ns.adobe.com/xap/这是adobe的一个官网,http://www.w3.org全球资讯网的官网
静态分析结论:.exe程序在被激活运行时,需要联到互联网,然后到指定的URL链接上下载相关的文件,然后进行(安装)运行现在下来的软件。初步获取的到的两个主要的网址是
http://crl.certum.pl/ ,http://repository.certum.pl/ ,http://ns.adobe.com/xap/ ,http://www.w3.org ,但是这几个域名是否真的是目标文件被激活后向其发送请求服务,然后下载相关的文件的域名呢?单凭静态分析还不能足以证明,接下来还需要对它进行动态分析……有兴趣的敬请期待!
精灵(^_^)/淘气鬼(记)
下面是目标分析软件的网盘URL,这是一个被杀毒软件查杀软件,所以建议有兴趣的在虚拟机上对其进行各种分析。
http://pan.baidu.com/s/1kTrB71d
基本信息
报告名称:steup_H164_1恶意软件分析
作者:精灵(^_^)/淘气鬼
报告更新日期:2014.12.25
样本发现日期:2014.12.20
样本类型:.exe文件
样本名称:steup_H164_1.exe
样本大小:4.1M
样本文件的MD5 校验值:ed0555226234766ba5aa4e6e2c1aea95 steup_H164_1.exe
样本文件的SHA1 校验值:
壳信息:PEid(什么都没找到 [Overlay] *)
可能受到威胁:
相关漏洞:
已知检测名称:
相关杀毒软件查杀信息:
简介:(简短概括)
例如:XXXX文件是一个针对PTP软件用户,控制系统/窃取系统或者用户信息/还是给系统安装什么软件
被感染系统
例如系统变得迟缓,打开资源管理器查看打开的进程是否有后台运行的进程,每次开机时候都会自动执行某个异常的程序。
系统文件变化
例如:系统目录某个文件被创建或者修改。
注册表变化:
注册表被修改。
网络症状
网络是否变得更加缓慢,某些端口是否被监听,是否会经常像某个目标IP发送信息,或者下载数据包
目标样本的详细分析流程,步骤及实现的功能
静态分析:
1. 没有足够留意该文件,就很容易认为这个文件就是一个压缩文件,但它确实是一个.exe应用程序(这是文件制作着的一种浅显但又有成效的欺骗方法,这种方法我之前已经说过),然就双击进行解压,该程序就被激活执行了。该程序图标如图1:
2. 用strings静态扫面一下目标文件,因为目标文件有4.3M,所以扫描出来的字符串过于庞大,不便于查找,所以用其他软件做初步静态扫描。
3. 用dependency walker打开目标文件。
首先看到kernel32.dll的如下调用函数,这是一个包含核心功能,如访问和操作内存,文件,硬件的动态链接库。
GetCPInfoEx:要获取有关有效安装或可用的代码页的其他信息;
创建一个新的目录。如果底层的文件系统支持的安全上的文件和目录,该功能可将指定;
FileTimeToSystemTime:获取系统时间;
CreateDirectoryEx:的安全描述符的新目录。要指定一个模板目录,使用CreateDirectoryEx功能。执行此操作的事务操作,使用CreateDirectoryTransacted功能;
CreateFileA、CreateFileW:进行文件创建;
DeleteFileW:进行文件删除;
FindFirstFileW、FindNextFileW遍历查找文件;
FlushFileBuffers:刷新一个指定文件的缓冲区,并导致所有缓冲的数据将被写入到文件中;
User32.dll它是一个包含用户界面组件,按钮,控制和响应用户操作的动态链接库。
SendMessageW:发送消息
SetWindowsHookExW:安装一个应用程序定义的钩子程序到钩子链。你会安装一个钩子程序,监控系统对某些类型的事件。这些事件或者与一个特定的线程或具有在相同的桌面与调用线程的所有线程相关联。
UnhookWindowsHookEx:移除安装在钩链由SetWindowsHookEx函数的钩子程序(一般会结合SetWindowsHookExW一起使用)
ADVAPI32.DLL,是一个高级API应用程序接口服务库的一部分,包含的函数与对象的安全性,注册表的操控以及事件日志有关
RegCreateKeyEx:创建指定的注册表项。如果键已经存在,函数打开它。键名不区分大小写。
RegDeleteKeyW:删除制定的注册表项。
shell32.dll是Windows的32位外壳动态链接库文件,用于打开网页和文件,建立文件时的默认文件名的设置等大量功能
DragFinish:系统分配用于传输文件名的应用程序DragFinish函数释放内存。
ShellExecuteW:用于执行另外一个程序,如果目标文件在创建一个新进程,还需要进一步跟进分析新进程。
URLMON.DLL,它在winsock 的基础上封装了HTTP, FTP, WWW 的协议的动态链接库,里面集合与URL相关的API。
URLDownloadToFileW:这是一个实现UEL链接然后实现自动下载功能的函数,这说明目标软件只要运行并且链接网络就会到指定的URL上下载相关的资源,然后再实现下一个目标操作(一般下载然后自动安装)。
WININET.DLL:这是一个DLL包含了更高层次的网络函数的动态链接库,实现了如FTP,HTTP,NET等协议。
DeleteUrlCacheEntryW:实现删除URL缓存,清除网络连接协议
InternetOpenW:打开互联联网
InternetOpenUrlW:链接指定的URL
初步结论1:.exe程序在被激活运行时,需要联到互联网,然后到指定的URL链接上下载相关的文件,然后进行(安装)运行现在下来的软件。具体是下载什么文件还需接下来使用其他工具进行分析。因为这也符合相关的逻辑思维:现在一般的恶意软件都是配套存在,现在为止一个.exe文件现在很难实现黑客的全部功能(现在也有.exe程序,他其实就是一个压缩文件,双击之后将会加压出一个文件包,如果解压之后接着运行解压出来的程序或许将是接下来的技术趋势)。
4. 使用PEView工具对其进行分析,初步任务是找出打开互联网然后连接到的URL地址是哪里,然后在浏览器上打开相关的URL链接,看看目标网页是什么……
在CERTIFICATE Table里面查到了几个比较关键的域名
用浏览器打开http://crl.certum.pl/这个域名,发现里面挂满相关的文件。这或许就是他们要下载的文件?貌似有点不像。因为里面都是一些数字签名认证书。如图2:
再打开http://repository.certum.pl/鼠标指向页面框中的第一个按钮就会出现http://repository.certum.pl/ctnca.cer0,这里面是一个文件。如图3:
5. 使用resource hacker工具看还能得到什么信息。
没有找到什么有价值的信息,但是在里面的JPG图标中发现一个毕竟经常出现的几个网址:http://ns.adobe.com/xap/这是adobe的一个官网,http://www.w3.org全球资讯网的官网
静态分析结论:.exe程序在被激活运行时,需要联到互联网,然后到指定的URL链接上下载相关的文件,然后进行(安装)运行现在下来的软件。初步获取的到的两个主要的网址是
http://crl.certum.pl/ ,http://repository.certum.pl/ ,http://ns.adobe.com/xap/ ,http://www.w3.org ,但是这几个域名是否真的是目标文件被激活后向其发送请求服务,然后下载相关的文件的域名呢?单凭静态分析还不能足以证明,接下来还需要对它进行动态分析……有兴趣的敬请期待!
精灵(^_^)/淘气鬼(记)
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
