-
-
[原创]菜鸟的第一次样本分析
-
发表于: 2022-5-13 19:27 11742
-
样本是一个自解压文件,解压后通过白加黑方式静默运行白文件MicrosoftUpdate.exe并加载黑DLL SoftwareUpdateFilesLocalized.dll。黑DLL读取SHELLCODE SoftwareUpdateFiles.locale随后动态加载所需dll,过程中将释放且加载另一个SHELLCODE “New Text Document.doc”,最后尝试回连CC thripplekill.mentosfontcmb[.]com 46405端口。
样本以SHA256值命名,通过DIE查看,该样本是一个压缩包,但从winhex查看却是一个PE头,经过查询资料,推断该文件为自解压压缩文件。
文件名
dbde2b710bee38eb3ff1a72b673f756c27faa45d5c38cbe0f8a5dfccb16c18ba
MD5
7579aede6a223c96231ad30472a060db
时间
2019-02-25 03:03:32
文件格式
Zip(2.0)
功能类型
控守后门
图 DIE查看为压缩包格式
图 Winhex查看为PE头
使用Winrar打开压缩包,压缩包中包含共计4个文件:1个PE(MicrosoftUpdate.exe),1个二进制文件(SoftwareUpdateFiles.locale),2个dll(SoftwareUpdateFiles.dll、SoftwareUpdateFilesLocalized.dll)。Winrar标注该自解压文件双击后运行MicrosoftUpdate.exe。
图 自解压运行 MicrosoftUpdate.exe
虚拟机中运行压缩包样本,使用PChunter看到MicrosoftUpdate.exe是正常厂商签名PE文件。使用火绒剑看到压缩包启动MicrosoftUpdate.exe并加载SoftwareUpdateFiles.dll、SoftwareUpdateFilesLocalized.dll 2个dll。SoftwareUpdateFilesLocalized.dll 无有效签名。
推测样本通过白名单文件MicrosoftUpdate.exe加载恶意SoftwareUpdateFilesLocalized.dll达到某种目的。
图 厂商签名白文件
图 无签名dll
首先分析MicrosoftUpdate.exe如何加载2个dll。使用CFF查看导入表,发现仅导入SoftwareUpdateFiles.dll,无另一个dll痕迹,但SoftwareUpdateFiles.dll导入表中也无发现。推测SoftwareUpdateFilesLocalized.dll由其他系统dll加载。
图 MicrosoftUpdate.exe导入表
图 SoftwareUpdateFiles.dll导入表
MicrosoftUpdate.exe拖入OD中,查看当前PE加载DLL情况,发现PE还未运行时SoftwareUpdateFilesLocalized.dll已经载入。要想定位是哪一个DLL加载SoftwareUpdateFilesLocalized.dll,则用OD"中断于新模块"断点,断下每一个加载DLL。
图 SoftwareUpdateFilesLocalized.dll加载
通过下断点,发现SoftwareUpdateFilesLocalized.dll由msctf.dll加载,但在msctf.dll导入表中未发现相关dll。推测msctf.dll使用Loadlibrary函数动态加载SoftwareUpdateFilesLocalized.dll。
图 msctf.dll导入表
在msctf.dll处下断点并一步步推进,发现其确实调用LoadLibraryExW动态加载SoftwareUpdateFilesLocalized.dll。
图 SoftwareUpdateFilesLocalized.dll加载
对于存在SHELLCODE的样本,其加载原理大多通过"VirtualAlloc"函数将SHELLCODE注入到某个内存空间中,所以用IDA打开黑DLL(SoftwareUpdateFilesLocalized.dll)查看"VirtualAlloc"函数引用并定位注入功能模块位置并在函数"VirtualAlloc"上方发现操作SHELLCODE "SoftwareUpdateFiles.locale"的痕迹。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
赞赏
- [原创]APT 摩诃草样本分析 13370
- [原创]APT 蔓灵花样本分析 10477
- [原创]APT 双尾蝎样本分析 8808
- [原创]APT Turla样本分析 11661
- [原创]APT Lazarus 样本分析 15028