温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

一个链接引发的“恶意执行”

发布时间:2020-06-20 01:05:14 来源:网络 阅读:302 作者:长路慢 栏目:安全技术

引子:
 最近研究算法上瘾了,也分析了一些最新的恶意软件(后续更),今早浏览样本的时候发现一款老病毒,大体分析了一下,还算有趣所以简单分享一下。

病毒分析:
 1、解压样本后,只发现了一个链接??链接名叫账号密码,我第一次看到竟然双击了(其实知道有隐藏文件,习惯性的操作很可怕),双击后感觉就中招了,如下所示:

一个链接引发的“恶意执行”
                    图片一:样本
 2、右击查看一下链接属性及链接位置,发现是一个该文件夹下vb脚本的快捷方式,调整一下文件夹显示属性:
一个链接引发的“恶意执行”
一个链接引发的“恶意执行”
                    图片二:VBS
3、用010打开.vbs来看一下代码,如下所示:
一个链接引发的“恶意执行”
                    图片三:隐式执行
4、利用shell执行了~\jpg.exe,打开文件夹继续跟中一下,如下所示:
一个链接引发的“恶意执行”
                    图片四:隐士文件夹
 5、文件夹中有jpg.jpg图片,还有.ini初始化文件,怎么下手分析?Shell对象执行了jpg.exe,那么静态分析,不过先看一下jpg图片与.ini数据,如下所示:
一个链接引发的“恶意执行”
                    图片五:数据查看
6、IDA中静态观察一下jpg.exe安装程序,如下所示:
一个链接引发的“恶意执行”
                    图片六:jpg.exe
7、因为是分析过了,所以函数名称已改成WriteLog,进入函数分析一下:
一个链接引发的“恶意执行”
                    图片七:追加(创建)日志
8、日期格式化输出,写入文件,如下所示:
一个链接引发的“恶意执行”
一个链接引发的“恶意执行”
                    图片八:C标准文件流
9、然后设置了环境变量等属性,如下所示:
一个链接引发的“恶意执行”
一个链接引发的“恶意执行”
                    图片九:环境属性
10、分享一段汇编代码,memset的汇编原理,从汇编来看,真的是高效率(论时效)如下:

xor     eax, eax
lea     edi, [esp+21Ch+var_103]
mov     [esp+21Ch+Value], 0
rep stosd
stosw

来看rep stos这条指令,如下所示:

操作码 指令 详细
F3 AA REP STOS m8 使用 AL 填写位于 ES:[(E)DI] 的 (E)CX 个字节
F3 AB REP STOS m16 使用 AX 填写位于 ES:[(E)DI] 的 (E)CX 个字
F3 AB REP STOS m32 使用 EAX 填写位于 ES:[(E)DI] 的 (E)CX 个双字

 11、IDA整体浏览了一下,发现每一个操作都会有详细的日志记录,而且以Entry -- Leave为完成标志,日志记录如下:
一个链接引发的“恶意执行”
                    图片十:日志记录
解析整个流程如下:
 1、进入Setup.exe安装
 2、调用了SetEnvironment
 3、环境变量SetupExeLocation设置为C:\Users\15pb-win7\Desktop\当前路径
 4、环境变量PROCESSOR_ARCHITECTURE设置为x86
 5、SetEnvironments返回1成功
 6、CmdLine:baidu.com 文件名称
 7、创建了注册表:
 8、离开了Setup.exe

一个链接引发的“恶意执行”
                    图片十一:注册表创建
12、上面步骤是以日志过程分析的,根据实际汇编来看,创建进程以后才会进行注册表操作,如下所示:
一个链接引发的“恶意执行”
一个链接引发的“恶意执行”
                    图片十二:创建进程
 13、剩下的就是命名为baidu.com.exe的可执行文件了,火绒见先运行看看行为,运行后竟然弹出了jpg,jpg的图片,如下所示:
一个链接引发的“恶意执行”
                    图片十三:baidu.com.exe
 14、这时候捋一捋,双击最开始快捷方式-->会执行VB-->执行jpg.exe-->执行baidu.com.exe打开图片.。
 意味着双击快捷方式就会打开图片,其实已经运行了恶意程序baidu.com.exe程序,图片是为了伪装,迷惑受害者,以为双击的快捷方式就是一个图片(文章最后附整个思维导图)。

 15、看一看火绒剑的监控信息,有明显的连接发送socket网络,意味着数据的泄露与恶意盗取,有着特洛伊的特性(远控),如下所示:
一个链接引发的“恶意执行”
                    图片十四:行为监控
16、先线上分析一下,看一下更为精准的恶意描述,如下所示:
一个链接引发的“恶意执行”
一个链接引发的“恶意执行”
                    图片十五:线上分析

 17、线上分析辨别出这并不是一个高危病毒(虽然不一定准确),有url与ip,意味着可能会下载恶意代码和上传系统/个人敏感数据。
 其实这个没有壳,一开始已经拉入PDIE查看了基本信息,但是又压缩与加密函数,补图一张,如下所示:

一个链接引发的“恶意执行”
                    图片十六:PEID分析
 因为本篇帖子重点不是样本分析,所以最后样本不进行详细分析,整篇帖子注重于整个手法与伪装手段,如下所示:
一个链接引发的“恶意执行”
                    图片十七:思维导图

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI