首页
社区
课程
招聘
[翻译]TrickBot银行木马样本DOC00039217.doc的分析
发表于: 2017-10-31 10:07 4676

[翻译]TrickBot银行木马样本DOC00039217.doc的分析

2017-10-31 10:07
4676


DOC00039217.doc运行恶意VBA脚本来下载可安装其他恶意软件的第二阶段木马程序。



文件名:DOC00039217.doc

壳:PECompact2

MD5:31529e5221e16a522e8aece4998036d7

样本:下载地址(https://www.reverse.it/sample/f934141126cdc13d1078e8c463b7241594d354c5513aa025d32853a658d237e7?environmentId=100

类型:TrickBot木马下载者和僵尸网络

视频: 


我们首先分析DOC的文件头,看到了PK和XML引用,这表示该文件为Microsoft Word DOCX或DOCM文件。 为了检查文档中包含的各个文件,我们只需将DOC扩展名更改为ZIP,并使用归档管理器打开该文件(即解压压缩文件)。



在解压出来的文件中,我们找到一个包含VBA宏代码的vbaProject.bin文件。在文本编辑器中打开它,我们可看到在打开原始文档后运行的脚本。 该脚本将从http://appenzeller.fr/aaaa下载一个文件。


aaaa文件是一个VBScript,它调用Wscript.Shell并运行Powershell来下载另一个文件。 下载此文件的变量是由第一个脚本“amphibiousvehicle.eu/0chb7”传递的一个参数构成。

值得注意的是文件被下载到%TEMP%文件夹并被命名为petya.exe。这个文件并不是最近的Petya勒索软件,而是个木马。


下载的木马带有PECompact2壳。 为了脱壳,我们首先将其加载到调试器中,并找到“入口点”。



然后我们找到EAX中的第一个地址,即0x002440e4。



接下来,我们从0x002440e4向下滚动到大量的0x00000000字节前的最后一条指令。该指令应该是一个JMP跳转,再进一步到入口点(OEP)。此时可以使用传统的输入表重建工具来还原文件。 脱不脱壳并不影响文件运行,但脱壳后静态分析会更容易。


petya.exe在执行之后将自身复制到Roaming\winapp目录,并重命名自身为odsxa.exe。它还生成了一个包含受害者身份字符串的client_id和group_tag文件,并且创建了一个Modules文件夹,用来存放之后下载的其他恶意软件、模块和插件。



一旦将所有东西复制到新文件夹,petya.exe将退出,之后由odsxa.exe接管。odsxa启动挂起状态的SVCHOST.EXE,并继续将数据注入到内存,这被称为Process Hollowing。通过此方法,注入的代码在Windows操作系统中拥有更大的自由度,因为它运行于SVCHOST.EXE的安全上下文之下。



[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2018-8-17 22:42 被SpearMint编辑 ,原因:
收藏
免费 1
支持
分享
最新回复 (3)
雪    币: 6818
活跃值: (153)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
不错!
2017-10-31 19:20
0
雪    币: 2785
活跃值: (17)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
非常可以
2017-11-1 19:40
0
雪    币: 128
活跃值: (205)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
样本的bin文件如何解压?  请大牛回答
2017-11-2 17:42
0
游客
登录 | 注册 方可回帖
返回
//