首页
论坛
课程
招聘
[.NET平台] [病毒木马] [调试逆向] [原创]某Matiex drop分析
2020-9-25 15:56 802

[.NET平台] [病毒木马] [调试逆向] [原创]某Matiex drop分析

2020-9-25 15:56
802

前言

不得不说,这年头想找个不失活的样本越来越难了,机缘巧合之下发现了一个drop样本,并且是内置数据解密,真是难得一见的执着,就凑合着分析提升下对C#样本的分析技能点。

样本信息

MD5: 80ca7c023f86983b45096df0433a8966
SHA1: 6333e753ee7549a668b7f048646244b4151a802f
SHA256: 99a9f37b29dd440c803ea37c57a6acded495d4b49c165f66b3fbe8a427972799
CRC32: a6d3c3ea
需要的小伙伴可以根据这个hash自行搜索,也可以在附件中直接下载(解压密码 infected)。

样本分析

使用exeinfo查看文件信息发现是个C#的样本,难搞了。自己也没怎么搞过C#的样本,慢慢来吧。
图片描述
首先是要准备分析工具Dnspy,github中可直接下载,这一步相对简单。

第一层数据

在资源中发现了一张png,看似有些可疑后续应该会进行数据读取操作。
图片描述
加载资源段中的png图片,看样子是准备解密该数据。
图片描述
png数据以被解密成一个PE文件,Dump内存数据。
图片描述
同样使用exeinfo查看信息,还是为C#程序。
图片描述
一样的发现含有一个资源段,只不过没有显示出数据,大小440832字节,差不多400kb左右大小。
图片描述
类命名被混淆,这里发现加载资源段中的数据。
图片描述
使用内置的pass来解密加载的资源数据。
图片描述
双击pass即可看到内置的pass内容。
图片描述

第二层数据

第二个PE文件,dump提取出来继续看。
图片描述
接下来的一幕让我傻眼了,这都是啥玩意啊。
图片描述
这就是为什么被命名为Matiex的原因吧,代码基本被Matiex替换。

解混淆

接着就需要借助de4dot来进行解混淆操作了,一键式傻瓜化操作,对刚接触这个软件的新手来说,非常的好用。
图片描述
解混淆之后,看着就舒服多了。
图片描述

Matiex键盘记录器

主要功能在Main中可以直接找到,剪切板数据记录,截屏操作和键盘记录,间隔时间每10分钟启动一次。
图片描述
除此之外还有一些数据收集操作,以下列举了部分。
图片描述
这里就不再多对Matiex做过多的分析了,代码被混淆的厉害,跟起来也很麻烦复杂,知道是个键盘记录器就足够了,有兴趣了解全部功能的可以继续追一追,期待各位大佬的分析,可惜没有找到对应接收数据的CC。

总结

本以为会干净利落的直接分析Matiex键盘记录器,没想到却是一个释放Matiex的drop,并且下载时发现该文件时一个rar,不难想到这可能是某些邮寄附件作为投递,可惜样本不是我捕获的,并不知道具体的攻击流程了~。


看雪学院推出的专业资质证书《看雪安卓应用安全能力认证 v1.0》(中级和高级)!

最后于 2020-9-25 15:56 被Risks编辑 ,原因:
收藏
点赞0
打赏
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回