很久没冒泡了，发点东西，证明自己还活好着呢
给个样本练练手 Global.rar
1  基本描述

  样本是介于 蠕虫与后门之间，因为样本具备有蠕虫的系统感染性与后门的隐藏性，反取证等特性。经样本分析及自动化运行监控得知，样本并没有直接或间接向远程IP建立通讯链接，实现远程控制。因为样本并不对系统存在高级别威胁，因此并不被众安全厂商给予足够的重视，但是个人认为它对寄生系统同样存在严重的威胁以及影响系统性能，并且样本长期高权限存活在寄生系统底层，相当于长期抱着一个危险品，说不定那天就爆发威胁。从另一个角度上说这个样本是从某客户现场取证出来的样本，因此可以确定此样本已经投放于互联网中。
  样本MD5：658a692bb82cb1e053904a5e1ec7766a
2  功能描述

  此蠕虫样本主要实现有4大功能特性。
  2.1  样本实现样本多处备份，然后再通过子样本备份多其他目录中，实现交叉式系统样本备份感染；
  2.2  创建注册表自启动项，将多个备份样本实现自启动；
  2.3  设置文件属性，所有备份的直属目录设置为系统隐藏属性，直属样本设置为系统隐藏、只读属性有效防止样本被提取，并将样本图标设置为文件夹路标，诱使用户误认为是文件夹双击运行样本；
  2.4  操作注册表实现反取证工具运行。通过样本的3大特性以及多个副本同时运行。使得在副本进程没有全部结束下，样本实现难以在系统清除样本。

二、样本功能分析
3  功能解析
  此样本使用的方法技术量比一般的木马要高得多。
  1  样本全程使用shellcode，而且样本还加了反静态，一般静态无法分析，也不合算静态分析，个人习惯直接使用动态调试，对关键API下断点。
  2  样本进程运行具有比较高的权限，在设置备份文件及文件直系父目录为系统级隐藏属性，所以在取证是，使用一般的ring3层取证工具是无法检测到相关样本及目录的存在。
  3  样本具有一定的反取证功能，对常见的取证工具（autorun.exe、auto.exe、boot.exe、ctfmon.exe、msconfig.exe、procexp.exe、taskmgr.exe）进行反取证，方法也比较新颖。
  
3.1  样本多备份。样本在实现备份后，便操作注册表为备份样本添加自启动项，启动备份样本进程，便开始结束自身进程并进行自删除

  "C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\Global.exe"
  "C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\svchost.exe"
  "C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\system.exe"
  且同时运行，实现同一个功能，因此手工查杀，理论上根本不可能实现系统清除病毒。因为每个样本都在尝试相互备份彼此，启动彼此，所以一般只能通过杀毒软件自动化查杀，或者重装系统（样本只在系统盘进行备份，没有殃及其他磁盘）。
  
  再通过"C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\Global.exe"副本，在多个系统文件目录中备份。例如：
  "C:\WINDOWS\system32\dllcache\svchost.exe"
  "C:\WINDOWS\system32\dllcache\Default.exe"
  "C:\WINDOWS\system32\regedit.exe"
  "C:\WINDOWS\system\KEYBOARD.exe"
  "C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com"
  "C:\WINDOWS\Help\microsoft.hlp"
  "C:\WINDOWS\Fonts\tskmgr.exe"
  "C:\WINDOWS\Media\rndll32.pif"
  "C:\MS-DOS.com"
  同样对上面Global.exe备份的样子样本设置为系统级别隐藏属性（在取证的时候一开始也感到困惑，为何在设置显示系统隐藏后瞬间，备份的子样本消失，系统查看设置也恢复默认）。

  操作注册表设置隐藏属性的文件及目录。
  操作注册表项：
  "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden"
  "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\ValueName"

  设置隐藏文件及目录：
  "C:\WINDOWS\system32\dllcache"
  "C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}"
  "C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E)\Global.exe"
  "C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E)\svchost.exe"
  "C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\system.exe"
  …………………………
  
3.2  操作一下自启动注册表实现多副本自启动
  "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\":"C:\WINDOWS\system\KEYBOARD.exe"
  "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\":"C:\WINDOWS\system32\dllcache\Default.exe"
  "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\":"C:\WINDOWS\system32\dllcache\Default.exe"
  "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\sys":"C:\WINDOWS\Fonts\Fonts.exe"


3.3  操作注册表，修改常见取证工具进程启动路径，将启动的映像路径修改为错误的路径，以此让指定进程无法运行。



  修改注册表项如下：
  "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\auto.exe":"Debugger=C:\WINDOWS\system32\drivers\drivers.cab.exe"
  "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autorun.exe":"Debugger=C:\WINDOWS\system32\drivers\drivers.cab.exe"
  "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\boot.exe":"Debugger=C:\WINDOWS\Fonts\fonts.exe"
  "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe":"Debugger=C:\WINDOWS\Fonts\Fonts.exe"
  "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe":"Debugger=C:\WINDOWS\Media\rndll32.pif"
  "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe":"Debugger=C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com"
  "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe":"Debugger=C:\WINDOWS\Fonts\tskmgr.exe"

4 样本威胁等级  
  Trojan[Steal]Win32.Cosmu  ★ ★ ★ ★ ★
  系统文件目录感染      ★ ★ ★ ★ ★
  自我备份          ★ ★ ★ ★
  反常见取证、反病毒工具    ★ ★ ★ ★
  劫持进程实现内存注入    ★ ★ ★
  实现多副本自启动      ★ ★ ★
  设置文件高级隐藏      ★ ★ ★

  其他的各种数据就不多给了哈！
  书以此文以表愿前东家安天（深圳安之天）顺利、腾飞，也感谢之前的同事，帮助我成长共同进步的兄弟姐妹们，前程似锦！谢谢你们！
  也谢谢您的阅读，谢谢！

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)