俄罗斯套娃式的.net样本分析-软件逆向-看雪-安全社区|安全招聘|kanxue.com

俄罗斯套娃式的.net样本分析

发表于: 2020-6-28 15:18 6988

俄罗斯套娃式的.net样本分析

1行

2020-6-28 15:18

6988

原来没有分析过.net的恶意程序，偶然发现了一个使用了Agent Tesla间谍软件生成的木马，看到有不少分析的文章了，就自己分析一下，记录一下分析过程。

原始文件是由c#编写的，内部包含两个资源，一个是图片，另一个是DLL文件。程序运行时会先将DLL文件在内存中释放出来。然后在DLL文件中使用解密函数将图片中隐藏的文件解密出来。隐藏的文件会设置计划任务，并解密出来一个PE文件来执行窃密操作。

使用dnspy对.net文件进行调试，https://github.com/0xd4d/dnSpy/releases ，在这里进行下载。

dnspy左侧是一些程序集，右侧是程序集对应的代码

1592967126837

先静态看看有什么内容，发现有两个资源，一个是图片，另一个似乎是PE文件

1592969814605

关键函数应该是这里

1592967514861

调试时可以在入口点停下，也可以下断点。

1592967232290

在此函数中将执行关键函数。

1592969687780

执行上述函数就会到达 PhotoDirector.dll 的函数中

1592969913105

使用自身的解密方式来进行解密操作

1592969975428

可以看到解密出来了一个PE文件

1592970068344

将文件dump出来继续分析，将从恶意程序中解密出来的文件复制到指定目录中。

解密资源中的xml文件，并将其放入临时文件中

1592985323960

获取信息准备设置计划任务

1592535607919

获取schtasks.exe，设置计划任务

1592535780461

1592535820804

计划任务已设置

1592535952201

运行之后，系统就提示检测到恶意软件，然而感觉似乎没有运行啊，就猜想会不会有其他的地方又解密出来一个恶意程序。
暂时不晓得该怎样调试，就在所有的类中添加了类断点，运行之后原来在程序的入口点之前恶意文件就已经被解密了。不过这个方法是只能是在类较少的情况下使用，不然断点太多了好麻烦的。

1592547573290

将程序dump下载进行分析，基本操作就是获取系统下载软件信息，窃取用户的各种账号密码，

1592555478430

获取发送信息的地址

1592556408203

拼接GET信息

1592556615557

密码字典爆破，用自设的用户名登录电脑

1592557076424

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

#.NET平台 #病毒木马 #调试逆向

上传的附件：

512614d4683ffe32c440266c41ca1a5b0cc9949b78850d3c131c1da388c6003d.zip （147.58kb，44次下载）

收藏・6

免费・6

支持

最新回复 (9)
Vagaeth2 雪币： 214 活跃值： (147) 能力值： ( LV3，RANK：35 ) 在线值：发帖 5 回帖 20 粉丝 0 关注私信	Vagaeth2 2 楼发现不少恶意软件喜欢用.net来写 2020-6-28 17:43 0
Mxixihaha 雪币： 4349 活跃值： (4333) 能力值： ( LV2，RANK：10 ) 在线值：发帖 65 回帖 592 粉丝 18 关注私信	Mxixihaha 3 楼 Vagaeth 发现不少恶意软件喜欢用.net来写估计是因为 Net 不报毒可以躲杀毒软件 2020-6-28 20:28 0
ZwCopyAll 雪币： 259 活跃值： (283) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 266 粉丝 10 关注私信	ZwCopyAll 4 楼 maark 2020-6-28 21:01 0
实都雪币： 66 活跃值： (2718) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 148 粉丝 1 关注私信	实都 5 楼 Mxixihaha 估计是因为 Net 不报毒可以躲杀毒软件 defender识别.NET的马比较厉害，之前就被干过 2020-6-30 15:30 0
江北浪雪币： 753 活跃值： (220) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 12 粉丝 1 关注私信	江北浪 6 楼 Vagaeth 发现不少恶意软件喜欢用.net来写可能是语法糖比较多吧，很多东西比较方便 2020-7-1 16:18 0
niuzuoquan 雪币： 300 活跃值： (2447) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 523 粉丝 2 关注私信	niuzuoquan 7 楼 mark 2020-7-4 23:24 0
lracker 雪币： 581 活跃值： (1192) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 24 粉丝 6 关注私信	lracker 8 楼这应该不是Tesla,根据以往的报告以及外网的报告,可以得知Tesla应该是一个.net程序.而前面三个阶段只是一个打包器,最后一个阶段才是真正的木马.但从分析中可以得知,最后一个阶段并非是一个.net程序,Tesla作为一个商业马,新旧版本代码应该具有一定的相似性.所以我觉得不太像是Tesla,可能是前面几个阶段VT上误报了.这种打包器在其他组织的攻击中也出现过,然后到了第四阶段释放出AsyncRAT开源木马. 参考链接: https://www.fortinet.com/blog/threat-research/new-agent-tesla-variant-spreading-by-phishing https://www.fortinet.com/blog/threat-research/analysis-of-new-agent-tesla-spyware-variant https://mp.weixin.qq.com/s/7PV4zh-ZJSR-jRf5RSDqcQ https://mp.weixin.qq.com/s/T15pdznZZ4ZsVVpcKrWlnQ 最后于 2020-9-29 15:14 被lracker编辑，原因： 2020-9-29 15:11 0
不懂就不懂雪币： 73 活跃值： (3090) 能力值： ( LV7，RANK：110 ) 在线值：发帖 7 回帖 57 粉丝 32 关注私信	不懂就不懂 2 9 楼 lracker 这应该不是Tesla,根据以往的报告以及外网的报告,可以得知Tesla应该是一个.net程序.而前面三个阶段只是一个打包器,最后一个阶段才是真正的木马.但从分析中可以得知,最后一个阶段并非是一个.ne ... 是的基本上会有两个或者两个以上的加载器，比方说bobsoft ，然后还有一个加载器我没认出来，是内存加载，然后HOOK了 CorExeMain中的一些函数，调用CorExeMain去执行的Tesla，我最近在找这个加载器的资料。如果有的话想要学习一下~ 2020-9-29 17:09 0
lracker 雪币： 581 活跃值： (1192) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 24 粉丝 6 关注私信	lracker 10 楼不懂就不懂是的基本上会有两个或者两个以上的加载器，比方说bobsoft ，然后还有一个加载器我没认出来，是内存加载，然后HOOK了 CorExeMain中的一些函数，调用CorExeMain去执行的Tesla ... 没呀，兄弟 2020-9-30 00:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

1行

发帖

回帖

120

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (9)
Vagaeth2 雪币： 214 活跃值： (147) 能力值： ( LV3，RANK：35 ) 在线值：发帖 5 回帖 20 粉丝 0 关注私信	Vagaeth2 2 楼发现不少恶意软件喜欢用.net来写 2020-6-28 17:43 0
Mxixihaha 雪币： 4349 活跃值： (4333) 能力值： ( LV2，RANK：10 ) 在线值：发帖 65 回帖 592 粉丝 18 关注私信	Mxixihaha 3 楼 Vagaeth 发现不少恶意软件喜欢用.net来写估计是因为 Net 不报毒可以躲杀毒软件 2020-6-28 20:28 0
ZwCopyAll 雪币： 259 活跃值： (283) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 266 粉丝 10 关注私信	ZwCopyAll 4 楼 maark 2020-6-28 21:01 0
实都雪币： 66 活跃值： (2718) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 148 粉丝 1 关注私信	实都 5 楼 Mxixihaha 估计是因为 Net 不报毒可以躲杀毒软件 defender识别.NET的马比较厉害，之前就被干过 2020-6-30 15:30 0
江北浪雪币： 753 活跃值： (220) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 12 粉丝 1 关注私信	江北浪 6 楼 Vagaeth 发现不少恶意软件喜欢用.net来写可能是语法糖比较多吧，很多东西比较方便 2020-7-1 16:18 0
niuzuoquan 雪币： 300 活跃值： (2447) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 523 粉丝 2 关注私信	niuzuoquan 7 楼 mark 2020-7-4 23:24 0
lracker 雪币： 581 活跃值： (1192) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 24 粉丝 6 关注私信	lracker 8 楼这应该不是Tesla,根据以往的报告以及外网的报告,可以得知Tesla应该是一个.net程序.而前面三个阶段只是一个打包器,最后一个阶段才是真正的木马.但从分析中可以得知,最后一个阶段并非是一个.net程序,Tesla作为一个商业马,新旧版本代码应该具有一定的相似性.所以我觉得不太像是Tesla,可能是前面几个阶段VT上误报了.这种打包器在其他组织的攻击中也出现过,然后到了第四阶段释放出AsyncRAT开源木马. 参考链接: https://www.fortinet.com/blog/threat-research/new-agent-tesla-variant-spreading-by-phishing https://www.fortinet.com/blog/threat-research/analysis-of-new-agent-tesla-spyware-variant https://mp.weixin.qq.com/s/7PV4zh-ZJSR-jRf5RSDqcQ https://mp.weixin.qq.com/s/T15pdznZZ4ZsVVpcKrWlnQ 最后于 2020-9-29 15:14 被lracker编辑，原因： 2020-9-29 15:11 0
不懂就不懂雪币： 73 活跃值： (3090) 能力值： ( LV7，RANK：110 ) 在线值：发帖 7 回帖 57 粉丝 32 关注私信	不懂就不懂 2 9 楼 lracker 这应该不是Tesla,根据以往的报告以及外网的报告,可以得知Tesla应该是一个.net程序.而前面三个阶段只是一个打包器,最后一个阶段才是真正的木马.但从分析中可以得知,最后一个阶段并非是一个.ne ... 是的基本上会有两个或者两个以上的加载器，比方说bobsoft ，然后还有一个加载器我没认出来，是内存加载，然后HOOK了 CorExeMain中的一些函数，调用CorExeMain去执行的Tesla，我最近在找这个加载器的资料。如果有的话想要学习一下~ 2020-9-29 17:09 0
lracker 雪币： 581 活跃值： (1192) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 24 粉丝 6 关注私信	lracker 10 楼不懂就不懂是的基本上会有两个或者两个以上的加载器，比方说bobsoft ，然后还有一个加载器我没认出来，是内存加载，然后HOOK了 CorExeMain中的一些函数，调用CorExeMain去执行的Tesla ... 没呀，兄弟 2020-9-30 00:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复