最近,AnyRun发布了2020年年度报告,其中 Emotet 木马被上传的次数高达3w余次,充分说明了它的活跃程度,所以对Emotet木马进行简要分析。
利用宏代码来执行下载的恶意程序,再利用rundll32来运行恶意程序的导出函数,拷贝恶意程序,再次rundll32来运行恶意程序的导出函数,获取信息,加密后发送至C2服务器。
样本名称:a268e9e152c260a0e80431aa8d6df187d9f24a1b6be71328ea14320436083f51.doc
MD5:a58394937da9d3adb33e948058fde4e9
样本具有宏代码,利用宏代码解析混淆的ps脚本文件,从恶意地址处下载恶意动态链接库。
样本打开,可以看到警告,宏已被禁用
对宏进行调试之后,可知下面的代码是宏要执行的
解密代码并去除混淆,进行整理之后,payload是从5个恶意地址之中下载恶意动态链接库,利用rundll32.exe来执行恶意动态链接库的control_rundll导出函数。
MD5:A7BC5F701692EE285EBB1C331226A832
由于payload执行的是"C:\Windows\system32\rundll32.exe" C:\Users\admin\IzL1U.dll Control_RunDLL
,所以明白恶意程序的分析重点是IzL1U.dll的导出函数 Control_RunDLL。
可以使用OD的带参数调试。
对 VirtuAlloc 下断点,直接进入恶意动态链接库的导出函数中进行分析。
导出函数的大部分操作在IDA中可以看到,就不过多分析。
dump出解密后的PE文件,使用IDA查看,发现应该是被平坦化处理过,本来准备试试将平坦化去除。调试了几下,发现程序的重点是这两个GetProcAddress及执行获取到的函数
,所以就没去除平坦化。
可以直接在调用GetProcAddress函数的上层函数的Retn处下断点,就可以看到EAX中出现的函数名,CALL EAX
就是执行获取到的函数。
调试之后,可以看到拼接的字符串,然后将恶意动态链接库拷贝到指定目录。
创建自启动服务
以命令行方式,创建拷贝程序的进程
想要调试zqncrdcqr.dsy,有两种方法
在调试之后,OD会卡在ReadDirectoryChangesW函数处,试过跳过后,发现会一直获取它的函数地址,所以直接将与它有关的一大段函数都NOP掉,发现可以继续调试了。
单步分析之后,LoadLibraryW 获取dll的函数地址。
遍历线程,目的是为了获取进程对应的应用程序名称。
获取密钥
获取计算机的名称
拷贝字符串
将遍历进程获取到的所有字符串都拷贝到缓冲区中
将计算机信息拷贝至上面的空间中
复制哈希值和哈希值所在的状态
加密数据,主要加密了计算机名称及进程对应的应用程序名
加密后的数据
获取C2的ip地址
拼接要发送的数据
使用 InternetOpen 来初始化应用程序
使用 InternetConnectW 来连接恶意IP地址
使用 HttpOpenRequestW 发送本机信息等加密数据
利用 InternetReadFile 函数从打开的句柄中读取数据
发送完数据之后,遍历 C:\Windows\System32\Ryqsnymjzf\ 目录,将目录下的所有文件都删除
如果想要对Emotet家族进行监控,可以从流量方面入手。对捕获到的流量进行分析,在调试中发现了一些硬编码的东西,通过这些可以对HTTP的header及body部分进行检测。
在流量中发现一个流具有这样的特征,则说明该机器已感染Emotet木马。
也可以使用Yara规则来匹配样本,只是在编写Yara规则时,要在精确与全覆盖两方面有所取舍,需要大量的样本做支撑。
有时候就会发现,逆向就是要大胆假设,小心求证。
分析前会觉得样本好难分析啊,分析完成之后就会觉得索然无味。。。
密码: infected
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)