-
-
[翻译]TrickBot银行木马样本DOC00039217.doc的分析
-
发表于:
2017-10-31 10:07
4676
-
[翻译]TrickBot银行木马样本DOC00039217.doc的分析
DOC00039217.doc运行恶意VBA脚本来下载可安装其他恶意软件的第二阶段木马程序。
文件名:DOC00039217.doc
壳:PECompact2
MD5:31529e5221e16a522e8aece4998036d7
样本:下载地址(https://www.reverse.it/sample/f934141126cdc13d1078e8c463b7241594d354c5513aa025d32853a658d237e7?environmentId=100)
类型:TrickBot木马下载者和僵尸网络
视频:
我们首先分析DOC的文件头,看到了PK和XML引用,这表示该文件为Microsoft Word DOCX或DOCM文件。 为了检查文档中包含的各个文件,我们只需将DOC扩展名更改为ZIP,并使用归档管理器打开该文件(即解压压缩文件)。
在解压出来的文件中,我们找到一个包含VBA宏代码的vbaProject.bin文件。在文本编辑器中打开它,我们可看到在打开原始文档后运行的脚本。 该脚本将从http://appenzeller.fr/aaaa下载一个文件。
aaaa文件是一个VBScript,它调用Wscript.Shell并运行Powershell来下载另一个文件。 下载此文件的变量是由第一个脚本“amphibiousvehicle.eu/0chb7”传递的一个参数构成。
值得注意的是文件被下载到%TEMP%文件夹并被命名为petya.exe。这个文件并不是最近的Petya勒索软件,而是个木马。
下载的木马带有PECompact2壳。 为了脱壳,我们首先将其加载到调试器中,并找到“入口点”。
然后我们找到EAX中的第一个地址,即0x002440e4。
接下来,我们从0x002440e4向下滚动到大量的0x00000000字节前的最后一条指令。该指令应该是一个JMP跳转,再进一步到入口点(OEP)。此时可以使用传统的输入表重建工具来还原文件。 脱不脱壳并不影响文件运行,但脱壳后静态分析会更容易。
petya.exe在执行之后将自身复制到Roaming\winapp目录,并重命名自身为odsxa.exe。它还生成了一个包含受害者身份字符串的client_id和group_tag文件,并且创建了一个Modules文件夹,用来存放之后下载的其他恶意软件、模块和插件。
一旦将所有东西复制到新文件夹,petya.exe将退出,之后由odsxa.exe接管。odsxa启动挂起状态的SVCHOST.EXE,并继续将数据注入到内存,这被称为Process Hollowing。通过此方法,注入的代码在Windows操作系统中拥有更大的自由度,因为它运行于SVCHOST.EXE的安全上下文之下。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
最后于 2018-8-17 22:42
被SpearMint编辑
,原因: