首页
社区
课程
招聘
[原创]简析"千层饼"式伪装方式的病毒
发表于: 2020-9-12 13:59 7425

[原创]简析"千层饼"式伪装方式的病毒

2020-9-12 13:59
7425

有天看到一个分析Dridex银行木马的报告,想到自己对银行木马没什么了解,所以就从any.run上根据Dridex标签下载了一个样本来分析,结果分析到最后发现是一个Phobos勒索病毒,不过这个变种的伪装方式还是有分析价值的。

利用CVE-2017-11882漏洞,在Excel文件打开时下载第一层恶意样本,第一层样本从资源段释放第二层恶意DLL,第二层恶意DLL利用第一层样本中的图片资源,异或解压缩提取出最终勒索病毒。

恶意程序利用CVE-2017-11882漏洞下载主体文件
下载恶意程序

但是网站已经挂了

不过从any.run上下载了一个包含下载的恶意文件的pacp包,用NetworkMiner_2-5把其中的恶意文件提取出来。

下载文件的版本信息,看着没撒事情,

发现是一个.net框架的恶意程序

打开发现是被混淆过的,

使用DotNet Id查看到了恶意程序使用.Net Reactor混淆

从GitHub上下载了de4dot3.1,然后发现怎么试都不行,

后来又下载了一个别人改编之后的 de4dot 然后才把混淆解开

再次打开恶意程序,基本上混淆已经没有了

先看看文件有撒资源,发现了一个图片资源,很多恶意程序都会利用图片来保存恶意文件的二进制信息,

从 Main 函数开始调试

base64解密资源段中的数据,加载 AndroidStudio.dll 到内存中,

在内存中将恶意的动态链接库解析出来,上面的是有混淆的,下面的是去除了混淆了,两个结合起来调试分析

调用了恶意程序 AndroidStudio.dll 的导出函数 StartGame,


先sleep一会,然后获取第一层文件中的图片资源,

对图片资源进行解密

对数据进行异或,

异或之后的二进制数据

最后对数据进行解压缩

解压缩出第三层文件,

第三层文件还是.net框架的

还是有混淆,将其去除混淆进行分析

直接开始调试,在程序入口点之前对一些数据进行操作

发现还会解密出来一个.net框架的文件,暂时先放放,一会再看他

使用WriteProcessMemory来将刚解密出来的文件加载到内存中,

会运行一个powershell进程,来删除文件

然后,可以在火绒剑上看到一直重复执行解密出来的第3层文件,然而一直不加密我的文件,不过勒索文件没撒意思,有意思的是这个样本的伪装方式。

这个“千层饼”的伪装方式,还是有些意思的,从攻击者的视角来看,恶意的文件不落地,直接在内存中隐蔽执行了。


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2020-9-12 14:00 被1行编辑 ,原因:
上传的附件:
收藏
免费 6
支持
分享
最新回复 (7)
雪    币: 775
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
2
大佬,tql,太厉害啦,求带
2020-9-12 14:22
0
雪    币: 160
活跃值: (325)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
3
大佬是陕西人吗
2020-9-15 14:26
0
雪    币: 3307
活跃值: (3524)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
4
一直在ZP 大佬是陕西人吗
可以是
2020-9-16 10:10
0
雪    币: 160
活跃值: (325)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
5
1行 可以是
你说撒?
2020-9-16 15:02
0
雪    币: 3307
活跃值: (3524)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
6
一直在ZP 你说撒?
哈哈,保护一下隐私嘛,
2020-9-16 15:20
0
雪    币: 83
活跃值: (1092)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
7
6666
2020-9-16 17:59
0
雪    币: 29183
活跃值: (63696)
能力值: (RANK:135 )
在线值:
发帖
回帖
粉丝
8
感谢分享!
2020-9-16 18:09
0
游客
登录 | 注册 方可回帖
返回
//