-
-
[原创]Excel宏病毒调用msBuild.exe根据C#源码内存加载恶意文件
-
发表于:
2019-3-22 21:21
5353
-
[原创]Excel宏病毒调用msBuild.exe根据C#源码内存加载恶意文件
遇到一个有趣的样本,觉得挺有趣的,就分析了一下。
0x01-----------------execl下载器部分
用了一个模糊图片,欺骗用户点击启用宏。
使用oletools的工具中的olevba3.py就可以初步判断是恶意xls了
当我们点击那个启用宏的按钮时,会触发Submit()方法,然后execl会创建一个wscrpt.shell的object来运行.net的编译器来编译远程的payload, ,ec2-18-191-166-175.us-east-2.compute.amazonaws.com\webdav\msbuild.xml
0x02--------------------msbuild.xml分析
msbuild.xml包含了恶意的c#源码。该源码中包含了C2的地址。和被base64编码和Deflat压缩过的恶意程序。使用msBuild.exe来绕过杀软等的检测这种方式已经被很多组织利用了。比如著名的APT组织海莲花等。
经过解码和解压缩之后,通过使用Aseeembly.Load等方法,实现直接在内存中加载恶意程序的功能。
0x03---------------------解密恶意文件
这里我稍微改了一下这个病毒的源码,让它不执行,而是将解密的程序输出到文件。接下来我们使用dnspy来分析这个恶意程序。
0x04-----------------------恶意程序以及关联开源项目分析。
这这之前看了一下那个C2的地址,443端口上面没有任何东西。
程序的基本类和方法如下图。
因为C2的443端口上没有放置任何东西。所以针对这个C2的分析继续不下去了。继续搜索一些这个样本中的信息,发现这个样本使用的是一个开源的后渗透框架-SILENTTRINITY。
https://github.com/byt3bl33d3r/SILENTTRINITY,该开源框架的工作机制如下。
所以本篇所介绍的样本,在Server端没有部署成功。导致stage.zip无法下载。
该框架的client端的所有代码全部定义在 public class ST中。定义了三个静态变量。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课