首页
社区
课程
招聘
[原创]记一次lpk劫持样本分析
发表于: 2021-8-1 21:45 12499

[原创]记一次lpk劫持样本分析

2021-8-1 21:45
12499

lpk.dll病毒是比较常见的一类病毒,系统本身的lpk.dll文件位于C:\WINDOWS\system32和C:WINDOWS\system\dllcache目录。
lpk.dll病毒的典型特征是感染存在可执行文件的目录,并隐藏自身,删除后又再生成,当同目录中的exe文件运行时,lpk.dll就会被Windows动态链接,从而激活病毒,进而导致不能彻底清除。

MD5: 304bbe0e401d84edf63b68588335ceb6
SHA-1: 8389fb0466449755c9c33716ef6f9c3e0f4e19c8
SHA-256: 1f3e836b4677a6df2c2d34d3c6413df2c5e448b5bc1d5702f2a96a7f6ca0d7fb File size: 52.50 KB (53760 bytes)

LPK_3601004(vt)

测试环境:Windows 7

测试工具:PEID、StudyPE、IDA Pro、x32dbg、火绒剑

LPK_3601005(行为)

LPK_3601006(网络行为)

从上面的沙箱检测结果,初步可以得到的信息:

该病毒启动具有隐藏界面的cmd窗口,将自身拷贝到其他目录,修改网络代理设置,连接了三个域名等操作。

第一次运行样本后会创建系统服务、添加注册表的键值,根据系统时间随机生成一个名字的文件,将母体拷贝到该文件并释放到C:/Windows路径下,给新生成的子文件icykmk.exe添加服务的自启动项,结束母体并删除。

之后运行icykmk.exe,首先加载hra33.dll然后创建4个线程。

加载的hra33.dll首先遍历文件,判断是否存在.exe,如果存在,就继续递归寻找下一个;否则,就在同路径下创建lpk.dll;然后判断是否存在.rar或者.zip,如果存在,就继续递归寻找下一个,如果不存在就往压缩包添加lpk.dll。

线程1:通过弱口令感染局域网内的共享文件夹,将病毒释放到共享文件夹中。
线程2:连接到控制端sbcq.f3322.org,获取当前系统信息(CPU型号,系统版本,上线时间,内存信息等)发送给病毒作者,然后就循环等待病毒作者的指令接收,判断info的类型,做出相应的操作。
线程3:连接控制端www.520123.xyz。具体功能同线程2。
线程4:连接控制端www.520520520.org:9426。具体功能同线程2。

流程图如下:

LPK_3601046(流程图)

运行样本,火绒剑捕捉样本行为动作:

设置注册表项:

LPK_3601010(注册表操作)

创建进程操作:

LPK_3601011(进程操作1)

文件增删查改操作:

LPK_3601011(文件操作)

网络收包发包操作:

LPK_3601013(网络操作)

下面是随机生成名字的子程序进程和har33.dll:

LPK_3601014(hra33dll)

查壳

002

LPK_3601003(脱壳)

首先,查壳,病毒upx加壳,手动esp定律或者upx -d脱壳后PEID看到病毒是由Microsoft Visual C++ 6.0编写。

studyPE查看导入表:

LPK_3601007(导出函数)

IDA Pro7.5载入样本文件,进入WinMain函数:

WinMain函数中是网络相关的函数,判断服务及注册表是否存在,并且母体病毒开始初始化。

LPK_3601015(WinMain)

sub_405A52()函数内部就是判断键值是否存在。就是判断是否创建了一个名为”Ghijkl Nopqrstu Wxy“的服务,如果创建了,就返回1,执行if当中的操作;如果没有创建,那么执行else当中的操作,创建服务。简言之,就是判断样本是否第一次运行。

下面分析else当中的sub_405B6E():

1、在ADVAPI32.dll中加载函数,遍历文件。

LPK_3601016(sub_405B6E)

2、根据时间随机生成数作为文件名进行拼接,然后拷贝到C:\Windows\目录下。

LPK_3601017(sub_405B6E)

LPK_3601018(sub_405B6E)

3、创建服务。

LPK_3601019(sub_405B6E)

LPK_3601020(sub_405B6E)

4、添加注册表项。

LPK_3601021(sub_405B6E)

然后分析下面的sub_40355B():

LPK_3601022(sub_40355B)

上面的伪代码可以看到:母体通过字符串拼接执行cmd命令删除自身,设置高优先级。

以上代码,程序第一次运行,将自己拷贝到指定系统目录,创建服务,启动服务,删除自身。

若服务已被创建,则通过判断,第二次打开程序则直接打开服务。调用sub_40561A()。

会先判断键值是否存在,如果存在的话就开启服务,进入服务回调继续分析。

LPK_3601015(WinMain)

sub_40561A()主函数内容如下:

LPK_3601023(sub_40561A)
作为新程序的主程序,之前先做了服务初始化操作,主要分析下面的函数。

LPK_3601024(枚举)

sub_4053A6()函数主要作用的就是加载dll。
在sub_4053A6()函数中,检查注册表,打开hra33.dll,拷贝2个资源到hra33.dll。大致如下:

LPK_3601025(sub_4053A6)

释放资源:

LPK_3601026(sub_4053A6)

sub_4034E5()函数加载hra33.dll,该dll具有dll劫持功能。

下面分析一下创建的四个线程当中的具体操作。

初始化一堆字符串,根据下面获取主机名以及网络连接的函数,IPC内置的一些弱口令。

LPK_3601028(sub_402DD5)

弱口令攻击:

LPK_3601029(sub_402DD5)

LPK_3601030(sub_402DD5)

线程1的作用就是:通过弱口令感染局域网其他主机, 如果连接成功通过,通过共享目录将病毒传播出去, 利用 at 定时执行启动任务, 通过 admin$共享传播病毒。

第二、三、四线程功能基本相同,区别是连接的地址不同。

就拿线程2来说:

该线程首先与sbcq.f3322.org控制端进行网络连接,如果连接成功继续往下,不然就返回。然后初始化socket套接字。

LPK_3601031(sub_4051E0)

sub_4060F0()函数当中获取了一些系统内存cpu等信息,

LPK_3601032(sub_4060F0)

LPK_3601033(sub_4060F0)

之后又加载了hra33.dll,将收集到的系统相关信息发送到控制端,等待接收控制端发来的指令,当接收的数据>6时才开始进行swtich…case中进行匹配。

指令 > 6时:

当指令为0x10时,会从网络上下载恶意代码到临时的文件然后执行它。

LPK_3601034(sub_4051E0)

当指令为0x12:
打开互斥体,防止多开带来的检测风险。根据系统时间随机生成文件名,初始化一些信息,设置优先级,更新病毒,如果下载成功就删除服务,注册表以及自身的程序。执行新的程序,退出本身。

LPK_3601035(sub_4051E0)

LPK_3601036(sub_4051E0)

当指令为0x14:
打开IE浏览器并弹框。

LPK_3601037(sub_4051E0)

当指令 < 0x6时:
指令等于0x6:
和0x12执行一致,打开互斥体,防止多开带来的检测风险。根据系统时间随机生成文件名,初始化一些信息,设置优先级,更新病毒,如果下载成功就删除服务,注册表以及自身的程序。执行新的程序,退出本身。

LPK_3601038(sub_4051E0)

当指令为0x2:

进行初始化socket

LPK_3601039(sub_4051E0)

当指令为0x3:

sub_403280函数,里面仍然会做一些判断,继续分析各个函数,会发现这是一个发包的函数。

LPK_3601040(sub_4051E0)

GET数据请求头:

LPK_3601041(sub_403280)

GET请求数据包:

LPK_3601042(sub_403280)

指令为0x4:
仍旧是初始化socket。

LPK_3601033(sub_4051E0)

至此线程2分析结束。

总结一下,它获取系统信息,cpu信息,内存信息,将这些信息发往控制端,通过控制端发来的指令类型执行不同的操作。

第二个远程连接服务器地址sbcq.f3322.org

第三个远程连接服务器地址www.520123.xyz

第四个远程连接服务器地址被加密,"1NTUHRYRExYRExYREx3c0eQJChcRFUM=",解密后是www.520520520.org:9426

接着来分析分析劫持lpk.dll的hra33.dll。

Dllmain函数中分析,获取模块名字后判断病毒文件是否存在,如果存在,就在同目录下将内存数据写入到.TMP临时文件,并创建一个胡互斥体,检测同目录下是否存在lpk.dll,如果存在,加载lpk.dll到zip,rar文件,并且同目录下创建exe。如果没有被加载就释放dll文件。之后获取原lpk.dll,将其替换为自己的lpk.dll,实现lpk劫持。

LPK_3601043(hra33)

LPK_3601044(hra33)

sub_1000142B()当中是添加压缩包的操作:

利用rar的shell命令进行操作,先检查同路径有没有lpk.dll,如果没有,就以最大速度解压文件,将lpk.dll添加到文件夹中,然后再重新压缩文件,最后删除临时文件。

LPK_3601045(sub_1000142B)


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 6
支持
分享
最新回复 (3)
雪    币: 17
活跃值: (3918)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
很详细,学习一下。。。
2021-8-3 16:05
0
雪    币: 2517
活跃值: (1735)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
似乎0x3后是CC/UDP的攻击发包。
2021-8-4 04:38
0
游客
登录 | 注册 方可回帖
返回
//