首页
社区
课程
招聘
[原创]Excel宏病毒调用msBuild.exe根据C#源码内存加载恶意文件
发表于: 2019-3-22 21:21 5345

[原创]Excel宏病毒调用msBuild.exe根据C#源码内存加载恶意文件

2019-3-22 21:21
5345

遇到一个有趣的样本,觉得挺有趣的,就分析了一下。

0x01-----------------execl下载器部分

用了一个模糊图片,欺骗用户点击启用宏。


使用oletools的工具中的olevba3.py就可以初步判断是恶意xls了


当我们点击那个启用宏的按钮时,会触发Submit()方法,然后execl会创建一个wscrpt.shell的object来运行.net的编译器来编译远程的payload, ,ec2-18-191-166-175.us-east-2.compute.amazonaws.com\webdav\msbuild.xml


0x02--------------------msbuild.xml分析

msbuild.xml包含了恶意的c#源码。该源码中包含了C2的地址。和被base64编码和Deflat压缩过的恶意程序。使用msBuild.exe来绕过杀软等的检测这种方式已经被很多组织利用了。比如著名的APT组织海莲花等。


经过解码和解压缩之后,通过使用Aseeembly.Load等方法,实现直接在内存中加载恶意程序的功能。

0x03---------------------解密恶意文件

这里我稍微改了一下这个病毒的源码,让它不执行,而是将解密的程序输出到文件。接下来我们使用dnspy来分析这个恶意程序。

0x04-----------------------恶意程序以及关联开源项目分析。

这这之前看了一下那个C2的地址,443端口上面没有任何东西。

程序的基本类和方法如下图。

因为C2的443端口上没有放置任何东西。所以针对这个C2的分析继续不下去了。继续搜索一些这个样本中的信息,发现这个样本使用的是一个开源的后渗透框架-SILENTTRINITY。

https://github.com/byt3bl33d3r/SILENTTRINITY,该开源框架的工作机制如下。

所以本篇所介绍的样本,在Server端没有部署成功。导致stage.zip无法下载。

该框架的client端的所有代码全部定义在 public class ST中。定义了三个静态变量。


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 1
支持
分享
最新回复 (1)
雪    币: 181
活跃值: (621)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
这是高手
2019-3-22 22:49
0
游客
登录 | 注册 方可回帖
返回
//