前言
不得不说,这年头想找个不失活的样本越来越难了,机缘巧合之下发现了一个drop样本,并且是内置数据解密,真是难得一见的执着,就凑合着分析提升下对C#样本的分析技能点。
样本信息
MD5: 80ca7c023f86983b45096df0433a8966
SHA1: 6333e753ee7549a668b7f048646244b4151a802f
SHA256: 99a9f37b29dd440c803ea37c57a6acded495d4b49c165f66b3fbe8a427972799
CRC32: a6d3c3ea
需要的小伙伴可以根据这个hash自行搜索,也可以在附件中直接下载(解压密码 infected)。
样本分析
使用exeinfo查看文件信息发现是个C#的样本,难搞了。自己也没怎么搞过C#的样本,慢慢来吧。
首先是要准备分析工具Dnspy,github中可直接下载,这一步相对简单。
第一层数据
在资源中发现了一张png,看似有些可疑后续应该会进行数据读取操作。
加载资源段中的png图片,看样子是准备解密该数据。
png数据以被解密成一个PE文件,Dump内存数据。
同样使用exeinfo查看信息,还是为C#程序。
一样的发现含有一个资源段,只不过没有显示出数据,大小440832字节,差不多400kb左右大小。
类命名被混淆,这里发现加载资源段中的数据。
使用内置的pass来解密加载的资源数据。
双击pass即可看到内置的pass内容。
第二层数据
第二个PE文件,dump提取出来继续看。
接下来的一幕让我傻眼了,这都是啥玩意啊。
这就是为什么被命名为Matiex的原因吧,代码基本被Matiex替换。
解混淆
接着就需要借助de4dot来进行解混淆操作了,一键式傻瓜化操作,对刚接触这个软件的新手来说,非常的好用。
解混淆之后,看着就舒服多了。
Matiex键盘记录器
主要功能在Main中可以直接找到,剪切板数据记录,截屏操作和键盘记录,间隔时间每10分钟启动一次。
除此之外还有一些数据收集操作,以下列举了部分。
这里就不再多对Matiex做过多的分析了,代码被混淆的厉害,跟起来也很麻烦复杂,知道是个键盘记录器就足够了,有兴趣了解全部功能的可以继续追一追,期待各位大佬的分析,可惜没有找到对应接收数据的CC。
总结
本以为会干净利落的直接分析Matiex键盘记录器,没想到却是一个释放Matiex的drop,并且下载时发现该文件时一个rar,不难想到这可能是某些邮寄附件作为投递,可惜样本不是我捕获的,并不知道具体的攻击流程了~。
看雪学院推出的专业资质证书《看雪安卓应用安全能力认证 v1.0》(中级和高级)!