-
-
[原创]记一次看雪求助帖的样本分析
-
发表于:
2022-2-15 09:58
17560
-
基本信息
简单查一下Proteug10 发现是一款专业电路仿真软件
Server.exe,无数字签名,仿冒其他软件
资源未见敏感信息
对文件进行监视并运行程序,分析监视数据
分析行为监控,发现程序将自己复制到了C盘Microsoft Plarsb目录下,并且创建了服务来达到自启目的
并且程序对 121.18.238.56:8080和142.4.105.65:9090端口有网络访问
前者已关机(或防ping),后者存活
经查为美国服务器
端口扫描结果:
程序开始获取InternetOpenA函数地址,推测可能会下载网络文件
遇到一串字符串
(F6616FC73090D751AFD98A6194A14358)
像是一个32位HASH
在这里开始大量出现程序内所用到的字符串
发现一段密文
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
根据密文形式猜测,很有可能是AES/DES加密,根据12345678和12345678admins尝试解密失败
这里出现了默认分组的字样,2010字样,并且在IP138查询了外网地址,猜测可能是GH0ST变种
提权
创建了以“傻逼360”命名的事件对象,可以确定不是正常程序
确认目标路径存不存在
创建相应文件夹
将自己拷贝至目标路径内
运行拷贝过去的文件
结束
OD加载动态分析
创建堆并申请堆内存
然后获取程序启动信息路径和程序自身的信息
之后获取系统启动信息:硬件型号,系统版本,系统环境变量
开始申请内存大小,载入数据
释放触新的文件
通过loadPE查看加载的DLL只有一个,但在内存中动态使用loadLibrary去加载其他系统DLL来躲避查杀软件检测
至此,程序一阶段执行完毕,大概行为:
第二阶段运行分析
程序启动(C:\Program Files\Microsoft Plarsb\Nlwxaoc.exe):
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
最后于 2022-2-15 10:06
被badboyl编辑
,原因: