首页
社区
课程
招聘
[原创]Lab03-03样本分析记录
发表于: 2021-3-20 19:45 4213

[原创]Lab03-03样本分析记录

2021-3-20 19:45
4213

该样本来源于此帖恶意样本简单分析

NAME:Lab03-03.exe

MD5:e2bf42217a67e46433da8b6f4507219e

SHA1:daf263702f11dc0430d30f9bf443e7885cf91fcb

样本运行后,效果可见ANYRUN

PEID查壳:

6hQNX6.png

运行样本并通过procexp对其进行监控,结果如下图。据此可以知道,Lab03-03.exe运行后生成名为svchost.exe的程序,随后Lab03-03.exe自行退出:

6hlMvt.png

将生成的svchost.exe与系统文件svchost.exe进行对比可发现,该文件出现了许多不应该存在的字符串:

6hlKgI.png

查看服务,该svchost.exe属于未知组件:

6hlnCd.png

通过procmon,可以发现由Lab03-03.exe生成的svchost.exe在不断调用WriteFileCreateFile等函数对一个名为practicalmalwareanalysis.log的文件进行操作:

6hlu8A.png

打开该文件,其中记录了键盘及文件操作等信息。例如此处在桌面新建文档并键入字符,打开practicalmalwareanalysis.log后可观察到如下信息:

6hle4H.png

由此可知Lab03-03.exe运行后将生成进程svchost.exe并自行退出,留下的svchost.exe会在同目录下生成practicalmalwareanalysis.log用于记录键盘及文件操作信息。

用IDA对Lab03-03.exe进行分析

main函数主要逻辑如下:

6hldvq.png

其中主要分析sub_40149Dsub_40132Csub_4010EA

该函数第一个参数为\svchost.exe,函数主要目的是返回系统文件svchost.exe的路径:

6hla2n.png

sub_40132C将PE文件地址作为参数传入:

6hlNCj.png

随后对其进行如下处理:

6hlU8s.png

首先查找位置,此处笔者将该部分复制出来保存:

6hlY5Q.png

当判断该文件前两个字母不为"MZ"时,sub_401000函数将对其进行处理,处理方式为:

6hl0K0.png

sub_40132C函数结束后内存变化如下,此时解析后的PE文件写入内存0x3B0000处:

6hlBrV.png

将保存的文件异或处理后得到文件如下,对该文件的分析将放至第三部分详细描述:

6hlDbT.png

此函数分析如下:

首先创建svchost.exe,随后申请内存并将线程中获取的寄存器的值放入内存中:
6hlOxI.png

之后利用NtUnmapViewOfSection函数将Buffer处的模块卸载:

6hlLRA.png

最后激活进程:

6hlqGd.png

此处用IDA对其进行分析

6hlbPH.png

6hl7Ie.png

fn中调用了函数sub_4010c7,该函数主要目的为处理键值并在相应的文档中记录信息:


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 1
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//