病毒名称:ff808d0a12676bfac88fd26f955154f8884f2bb7c534b9936510fd6296c543e8MD5:36524C90CA1FAC2102E7653DFADB31B2SHA1:8D6DB316EA4E348021CB59CF3C6EC65C390F0497CRC32:04DA02C3样本来源:anyrun
Win7 x64 SP1
ExeinfoPE
火绒剑、Processonitor、Regshot
OD、IDA
日期月份时间相关的字符串
各种字符,猜测跟加密相关
各个国家的语言
1、KERNEL32.dll
关键函数
进程遍历:CreateToolhelp32SnapshotProcess32NextW文件操作:WriteFileDeleteFileCreateFileFlushFileBuffers获取当前操作系统的信息:GetEnviromentVariable解密相关:Decodeointer反调试相关:IsDebuggerPresentIsProcessorFeaturePresent //判断处理器相关信息
2、ADVAPI32.dll可能跟提权相关
3、SHELL32.dll命令执行相关
无壳
创建、写入、修改文件
启动一个rundll32.exe进程通过rundll32.exe加载释放的dll文件
因为使用的模拟网络,所以需要根据DNS请求的域名进行过滤威胁情报进行查询
敏感操作:注册表HKCR\Environment\UserInitMprLogonScript键值所指的程序会在杀毒软件启动前启动,而且修改它不需要管理员权限,因此我们可以通过其来达到权限维持的效果。
综上,可以看出,我们拿到的样本,执行后,释放一个bat文件和一个dll文件,bat文件调用rundll32.exe执行dll文件,并写入注册表进行权限维持。网络方面收集完本机信息会去访问C2服务器。核心功能应该是在dll文件中,接下来先分析这个母体文件。
IDA大致分析样本流程如下:下面结合OD详细分析:OD加载后,停留在此处执行大量函数,无法直观判断具体功能一直执行下去发现,程序终止,所以猜测上面的函数应该有反调试的功能根据动态获取的基地址,结合IDA的OEP,直接跳转程序入口,下断点并执行到此处程序开始执行1DEF函数先是执行了三个相同的函数函数内部有循环和运算操作,猜测是进行加解密操作OD执行查看,解密字符串如下,是三个路径
12D3函数两次执行1063函数解密字符串:第一次:cdnver.dll函数内部如下第二次:函数内部逻辑同上
1000函数解密一段数据,该数据是PE文件解密前:解密后:
13F7函数1DEF函数解密字符串:实现数据压缩解压缩解压到此处解压完毕
155B函数执行10CD函数执行1DEF函数解密两个字符串获取当前环境变量的字符串加载Kernel32.dll获取CreateFile函数地址调用CreateFile创建一个文件获取WriteFile函数的地址此时文件已经写入完毕
264C函数1DEF执行7次解密字符串:加载ADVAPI32.dll,里面包含注册表、事件日志等相关操作获取RegOpenKeyExW函数地址,用于打开注册表键主键名称对应的常数获取环境变量及处理字符串工作_wgetenv:从环境中取字符串,获取环境变量获取“LOCALAPPDATA”的环境变量_wcsstr:从字符串中寻找子串返回值:返回str中第一次出现strSearch的指针,如果strSearch未出现在str中,则返回NULL。如果strSearch指向长度为零的字符串,则函数返回str。从cdnver.dll找".",获取文件后缀名字循环判断,防止文件名中有不止一个"."直到文件名中没有".",EAX返回值是0
2030函数1DEF解密字符串将其宽字节转多字节,UNICODE转ASCII同样的对字符串"#1"、"cdnver.dll"、"LOCALAPPDATA"、"start"、"cdnver.bat"进行处理获取CreateFileA的函数地址,准备创建文件创建文件创建文件完毕构建字符串字符串构建完成通过WriteFile,写入文件写入成功lstrcatW:字符串拼接,该函数将一个字符串附加在另一个字符串后面。构造字符串加载ADVAPI32.dll,获取RegSetValueEx的函数地址设置注册表,权限维持操作。因为HKEY_CURRENT_USER\Environment\Logon Scripts 的执行顺序在杀软前,所以Logon Scripts可以优先于杀软执行,绕过杀软对敏感操作的拦截。设置前和设置后
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
库尔 这病毒可真强,进去一看hello world。都不给分析
浅汐 有分析cdnver.dll嘛
FSNSN 正在分析,下篇文章就是