首页
社区
课程
招聘
[原创]对病毒的一次详细分析
发表于: 2019-7-15 16:34 6591

[原创]对病毒的一次详细分析

2019-7-15 16:34
6591

好久没分析病毒了,今天偶然中发现个病毒,以前也有大佬分析过,在这里我分享一下我的成果。

病毒名称:Update Required Case Enq No 192_2018.docx.com

MD5:8fdc51fa4c14267026810f8b70e61418

SHA1: 5b0899709b4f0c8a076d04ad72e1a87133615f2e

SHA256: 8dd9a89571cbeba93c5839f355e56389d104499f0232f063fba4e40408ca5d4b

环境:Windows 7 32位操作系统

查壳工具:PEID、ExeinfoPE

二进制:010Editor

调试工具:OD、IDApro

1.     查壳


这里我们可以看到Not packed,也就是没有壳。

2.     云沙箱分析

这里我们可以看到它添加了注册表项,实现了自启动;创建了一个文件夹,生成了一个可执行文件,并且创建了一个进程,这些信息都是我们详细分析的时候需要注意的。

我们将文件放入IDA中观察,可以看到下图所示。

从这里整体上来看,他是创建了一个窗口,并且显示/隐藏了它,病毒一般都是隐藏窗口啦,接着我们看第一个函数,也就是sub_401140,如下图所示。

这个一看就很明白,这个就是创建窗口的一些参数嘛!那个sub_4011D0不出意外的话就是窗口回调了,为了证实这一点,让我们进去看看,下图就是sub_4011D0函数的内部


从回调来看,他并没有执行什么恶意操作,让我们回到主函数,继续往下看。


这里也就是隐藏更新窗口的操作,所以我们把重点放在sub_401330这个函数上面,当进去以后我们会发现这个函数不简单,里面有很大一坨…让我们一点一点的分析吧,首先第一个关键点如下图所示


它在C盘创建了一个文件夹,让我们继续往后看,后面的代码静态分析会有点困难,所以在这里我教大家一个好方法,OD和IDA 双剑合并。



打开IDA创建一个map文件



接着打开OD的插件,加载map文件你就会发现一些函数已经被标好了名字如下图所示,这样我们看起来会轻松很多。



接下来,我发现了一个不好的一个现象,这个程序是有随机基址的,如下图所示。



这样会对我们分析造成一点的阻碍,所以这里我去掉了随机基址,熟悉PE文件的都知道,所以这里我修改了下图的位置。



在进入程序的时候我们就可以看到已经没有随机基址了。



下面我们开始IDA和OD配合进行分析,

在这里我们可以看到,它确实是隐藏了窗口。




还有作者的一些花指令



我们可以找到刚才IDA静态分析的地方,让我们继续看下一个函数也就是sub_403B00这个函数,我们通过动态分析看到了下图注册表相关的东西



看到这个注册表我们就应该想到,他应该是有开机自启的功能,让我们继续往下看。




[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

最后于 2019-7-15 16:38 被一谷米粒编辑 ,原因:
收藏
免费 2
支持
分享
最新回复 (11)
雪    币: 7
活跃值: (333)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
2
这个云沙箱是啥玩意?
2019-7-15 16:46
0
雪    币: 714
活跃值: (88)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
3
bitter group.鉴定完毕.
2019-7-15 17:54
0
雪    币: 575
活跃值: (576)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
4
点赞,要是能再解析一下加密就更棒了,要是有抓包分析就更更棒了
2019-7-15 18:08
0
雪    币: 4313
活跃值: (1534)
能力值: ( LV5,RANK:75 )
在线值:
发帖
回帖
粉丝
5
叁毛 这个云沙箱是啥玩意?
这个云沙箱用的是360云沙箱。。。
2019-7-15 19:37
0
雪    币: 3496
活跃值: (749)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
图咋都挂了,看不到啊
2019-7-16 05:22
0
雪    币: 1887
活跃值: (360)
能力值: ( LV8,RANK:121 )
在线值:
发帖
回帖
粉丝
7
想看后续接收的文件,前面只是一个下载器而已啊
2019-7-16 08:44
0
雪    币: 9792
活跃值: (1675)
能力值: ( LV12,RANK:261 )
在线值:
发帖
回帖
粉丝
8

阅读完表哥写的文章 写得不错,继续努力
这个样本是BITTER(蔓灵花)团伙攻击巴基斯坦的样本
时间大约在2019-01-25左右
如果表哥不介意可以看看我写的报告:
记一次蔓灵花APT组织针对巴基斯坦定向攻击的样本分析
这个下载器会将C2回传的数据存入如下地址:
1
但是这个C2已经失效了,但是你可以看看微步的报告
【微步在线报告】“蔓灵花”团伙发起新一轮攻击活动
这里面涉及的C2以及样本hash还是比较齐全的
希望我的回复能给你帮助

2019-7-17 09:44
0
雪    币: 4313
活跃值: (1534)
能力值: ( LV5,RANK:75 )
在线值:
发帖
回帖
粉丝
9

最后于 2019-7-17 12:51 被一谷米粒编辑 ,原因:
2019-7-17 12:51
0
雪    币: 4313
活跃值: (1534)
能力值: ( LV5,RANK:75 )
在线值:
发帖
回帖
粉丝
10
CrazymanArmy 阅读完表哥写的文章 写得不错,继续努力 这个样本是`BITTER`(蔓灵花)团伙攻击巴基斯坦的样本 时间大约在2019-01-25左右 如果表哥不介意可以看看我写的报告: [记一次蔓灵花APT ...
非常感谢大哥的指点,让我对这个病毒有了更全面的了解。
最后我想请教一下大哥,在哪里可以获得最新的APT组织的攻击样本?
2019-7-17 12:53
0
雪    币: 9792
活跃值: (1675)
能力值: ( LV12,RANK:261 )
在线值:
发帖
回帖
粉丝
11
一谷米粒 非常感谢大哥的指点,让我对这个病毒有了更全面的了解。 最后我想请教一下大哥,在哪里可以获得最新的APT组织的攻击样本?
你可以关注关注Dalao的推特
那边样本还是很及时的
以及在VT上架设yara规则匹配也是可以匹配到一些不改变TTP的样本
包括Anyrun也不错
2019-7-17 18:05
0
雪    币: 36
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
12
能帮我分析一个?
2019-7-24 21:39
0
游客
登录 | 注册 方可回帖
返回
//