首页
社区
课程
招聘
[原创]记一次看雪求助帖的样本分析
发表于: 2022-2-15 09:58 17580

[原创]记一次看雪求助帖的样本分析

2022-2-15 09:58
17580

基本信息


简单查一下Proteug10  发现是一款专业电路仿真软件


Server.exe,无数字签名,仿冒其他软件

资源未见敏感信息

 

对文件进行监视并运行程序,分析监视数据

分析行为监控,发现程序将自己复制到了C盘Microsoft Plarsb目录下,并且创建了服务来达到自启目的

并且程序对 121.18.238.56:8080和142.4.105.65:9090端口有网络访问

前者已关机(或防ping),后者存活

 

经查为美国服务器

端口扫描结果:

 

 

程序开始获取InternetOpenA函数地址,推测可能会下载网络文件

遇到一串字符串

(F6616FC73090D751AFD98A6194A14358)

像是一个32位HASH

在这里开始大量出现程序内所用到的字符串

发现一段密文

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

根据密文形式猜测,很有可能是AES/DES加密,根据12345678和12345678admins尝试解密失败

这里出现了默认分组的字样,2010字样,并且在IP138查询了外网地址,猜测可能是GH0ST变种

提权

创建了以“傻逼360”命名的事件对象,可以确定不是正常程序

确认目标路径存不存在

创建相应文件夹

将自己拷贝至目标路径内

运行拷贝过去的文件

结束

OD加载动态分析 

创建堆并申请堆内存

 

然后获取程序启动信息路径和程序自身的信息

之后获取系统启动信息:硬件型号,系统版本,系统环境变量

开始申请内存大小,载入数据

释放触新的文件

 

通过loadPE查看加载的DLL只有一个,但在内存中动态使用loadLibrary去加载其他系统DLL来躲避查杀软件检测

至此,程序一阶段执行完毕,大概行为:

第二阶段运行分析

程序启动(C:\Program Files\Microsoft Plarsb\Nlwxaoc.exe):


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

最后于 2022-2-15 10:06 被badboyl编辑 ,原因:
收藏
免费 3
支持
分享
最新回复 (2)
雪    币: 141
活跃值: (7486)
能力值: ( LV9,RANK:335 )
在线值:
发帖
回帖
粉丝
2

"傻逼360"

最后于 2022-2-15 14:28 被PlaneJun编辑 ,原因:
2022-2-15 14:27
0
雪    币: 4120
活跃值: (5822)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
3
PlaneJun "傻逼360"

最后于 2023-6-25 15:45 被badboyl编辑 ,原因:
2022-2-15 14:50
0
游客
登录 | 注册 方可回帖
返回
//