首页
论坛
课程
招聘
[原创]记一次lpk劫持样本分析
2021-8-1 21:45 7447

[原创]记一次lpk劫持样本分析

2021-8-1 21:45
7447

lpk.dll病毒是比较常见的一类病毒,系统本身的lpk.dll文件位于C:\WINDOWS\system32和C:WINDOWS\system\dllcache目录。
lpk.dll病毒的典型特征是感染存在可执行文件的目录,并隐藏自身,删除后又再生成,当同目录中的exe文件运行时,lpk.dll就会被Windows动态链接,从而激活病毒,进而导致不能彻底清除。

样本概况

样本基本信息

MD5: 304bbe0e401d84edf63b68588335ceb6
SHA-1: 8389fb0466449755c9c33716ef6f9c3e0f4e19c8
SHA-256: 1f3e836b4677a6df2c2d34d3c6413df2c5e448b5bc1d5702f2a96a7f6ca0d7fb File size: 52.50 KB (53760 bytes)

 

LPK_3601004(vt)

测试环境及工具

测试环境:Windows 7

测试工具:PEID、StudyPE、IDA Pro、x32dbg、火绒剑

沙箱检测

LPK_3601005(行为)

 

LPK_3601006(网络行为)

 

从上面的沙箱检测结果,初步可以得到的信息:

 

该病毒启动具有隐藏界面的cmd窗口,将自身拷贝到其他目录,修改网络代理设置,连接了三个域名等操作。

样本分析

主要流程概述

第一次运行样本后会创建系统服务、添加注册表的键值,根据系统时间随机生成一个名字的文件,将母体拷贝到该文件并释放到C:/Windows路径下,给新生成的子文件icykmk.exe添加服务的自启动项,结束母体并删除。

 

之后运行icykmk.exe,首先加载hra33.dll然后创建4个线程。

 

加载的hra33.dll首先遍历文件,判断是否存在.exe,如果存在,就继续递归寻找下一个;否则,就在同路径下创建lpk.dll;然后判断是否存在.rar或者.zip,如果存在,就继续递归寻找下一个,如果不存在就往压缩包添加lpk.dll。

 

线程1:通过弱口令感染局域网内的共享文件夹,将病毒释放到共享文件夹中。
线程2:连接到控制端sbcq.f3322.org,获取当前系统信息(CPU型号,系统版本,上线时间,内存信息等)发送给病毒作者,然后就循环等待病毒作者的指令接收,判断info的类型,做出相应的操作。
线程3:连接控制端www.520123.xyz。具体功能同线程2。
线程4:连接控制端www.520520520.org:9426。具体功能同线程2。

 

流程图如下:

 

LPK_3601046(流程图)

样本动作捕捉

运行样本,火绒剑捕捉样本行为动作:

 

设置注册表项:

 

LPK_3601010(注册表操作)

 

创建进程操作:

 

LPK_3601011(进程操作1)

 

文件增删查改操作:

 

LPK_3601011(文件操作)

 

网络收包发包操作:

 

LPK_3601013(网络操作)

 

下面是随机生成名字的子程序进程和har33.dll:

 

LPK_3601014(hra33dll)

具体行为分析

查壳

 

002

 

LPK_3601003(脱壳)

 

首先,查壳,病毒upx加壳,手动esp定律或者upx -d脱壳后PEID看到病毒是由Microsoft Visual C++ 6.0编写。

 

studyPE查看导入表:

 

LPK_3601007(导出函数)

初次运行初始化服务

IDA Pro7.5载入样本文件,进入WinMain函数:

 

WinMain函数中是网络相关的函数,判断服务及注册表是否存在,并且母体病毒开始初始化。

 

LPK_3601015(WinMain)

 

sub_405A52()函数内部就是判断键值是否存在。就是判断是否创建了一个名为”Ghijkl Nopqrstu Wxy“的服务,如果创建了,就返回1,执行if当中的操作;如果没有创建,那么执行else当中的操作,创建服务。简言之,就是判断样本是否第一次运行。

 

下面分析else当中的sub_405B6E():

sub_405B6E()

1、在ADVAPI32.dll中加载函数,遍历文件。

 

LPK_3601016(sub_405B6E)

 

2、根据时间随机生成数作为文件名进行拼接,然后拷贝到C:\Windows\目录下。

 

LPK_3601017(sub_405B6E)

 

LPK_3601018(sub_405B6E)

 

3、创建服务。

 

LPK_3601019(sub_405B6E)

 

LPK_3601020(sub_405B6E)

 

4、添加注册表项。

 

LPK_3601021(sub_405B6E)

sub_40355B()

然后分析下面的sub_40355B():

 

LPK_3601022(sub_40355B)

 

上面的伪代码可以看到:母体通过字符串拼接执行cmd命令删除自身,设置高优先级。

 

以上代码,程序第一次运行,将自己拷贝到指定系统目录,创建服务,启动服务,删除自身。

 

若服务已被创建,则通过判断,第二次打开程序则直接打开服务。调用sub_40561A()。

再次运行sub_40561A()主函数

会先判断键值是否存在,如果存在的话就开启服务,进入服务回调继续分析。

 

LPK_3601015(WinMain)

 

sub_40561A()主函数内容如下:

 

LPK_3601023(sub_40561A)
作为新程序的主程序,之前先做了服务初始化操作,主要分析下面的函数。

回调函数EnumFunc:

LPK_3601024(枚举)

sub_4053A6()

sub_4053A6()函数主要作用的就是加载dll。
在sub_4053A6()函数中,检查注册表,打开hra33.dll,拷贝2个资源到hra33.dll。大致如下:

 

LPK_3601025(sub_4053A6)

 

释放资源:

 

LPK_3601026(sub_4053A6)

 

sub_4034E5()函数加载hra33.dll,该dll具有dll劫持功能。

 

下面分析一下创建的四个线程当中的具体操作。

线程1:

初始化一堆字符串,根据下面获取主机名以及网络连接的函数,IPC内置的一些弱口令。

 

LPK_3601028(sub_402DD5)

 

弱口令攻击:

 

LPK_3601029(sub_402DD5)

 

LPK_3601030(sub_402DD5)

 

线程1的作用就是:通过弱口令感染局域网其他主机, 如果连接成功通过,通过共享目录将病毒传播出去, 利用 at 定时执行启动任务, 通过 admin$共享传播病毒。

线程234:

第二、三、四线程功能基本相同,区别是连接的地址不同。

 

就拿线程2来说:

 

该线程首先与sbcq.f3322.org控制端进行网络连接,如果连接成功继续往下,不然就返回。然后初始化socket套接字。

 

LPK_3601031(sub_4051E0)

 

sub_4060F0()函数当中获取了一些系统内存cpu等信息,

 

LPK_3601032(sub_4060F0)

 

LPK_3601033(sub_4060F0)

 

之后又加载了hra33.dll,将收集到的系统相关信息发送到控制端,等待接收控制端发来的指令,当接收的数据>6时才开始进行swtich…case中进行匹配。

 

指令 > 6时:

 

当指令为0x10时,会从网络上下载恶意代码到临时的文件然后执行它。

 

LPK_3601034(sub_4051E0)

 

当指令为0x12:
打开互斥体,防止多开带来的检测风险。根据系统时间随机生成文件名,初始化一些信息,设置优先级,更新病毒,如果下载成功就删除服务,注册表以及自身的程序。执行新的程序,退出本身。

 

LPK_3601035(sub_4051E0)

 

LPK_3601036(sub_4051E0)

 

当指令为0x14:
打开IE浏览器并弹框。

 

LPK_3601037(sub_4051E0)

 

当指令 < 0x6时:
指令等于0x6:
和0x12执行一致,打开互斥体,防止多开带来的检测风险。根据系统时间随机生成文件名,初始化一些信息,设置优先级,更新病毒,如果下载成功就删除服务,注册表以及自身的程序。执行新的程序,退出本身。

 

LPK_3601038(sub_4051E0)

 

当指令为0x2:

 

进行初始化socket

 

LPK_3601039(sub_4051E0)

 

当指令为0x3:

 

sub_403280函数,里面仍然会做一些判断,继续分析各个函数,会发现这是一个发包的函数。

 

LPK_3601040(sub_4051E0)

 

GET数据请求头:

 

LPK_3601041(sub_403280)

 

GET请求数据包:

 

LPK_3601042(sub_403280)

 

指令为0x4:
仍旧是初始化socket。

 

LPK_3601033(sub_4051E0)

 

至此线程2分析结束。

 

总结一下,它获取系统信息,cpu信息,内存信息,将这些信息发往控制端,通过控制端发来的指令类型执行不同的操作。

 

第二个远程连接服务器地址sbcq.f3322.org

 

第三个远程连接服务器地址www.520123.xyz

 

第四个远程连接服务器地址被加密,"1NTUHRYRExYRExYREx3c0eQJChcRFUM=",解密后是www.520520520.org:9426

 

接着来分析分析劫持lpk.dll的hra33.dll。

hra33.dll:

Dllmain函数中分析,获取模块名字后判断病毒文件是否存在,如果存在,就在同目录下将内存数据写入到.TMP临时文件,并创建一个胡互斥体,检测同目录下是否存在lpk.dll,如果存在,加载lpk.dll到zip,rar文件,并且同目录下创建exe。如果没有被加载就释放dll文件。之后获取原lpk.dll,将其替换为自己的lpk.dll,实现lpk劫持。

 

LPK_3601043(hra33)

 

LPK_3601044(hra33)

 

sub_1000142B()当中是添加压缩包的操作:

 

利用rar的shell命令进行操作,先检查同路径有没有lpk.dll,如果没有,就以最大速度解压文件,将lpk.dll添加到文件夹中,然后再重新压缩文件,最后删除临时文件。

 

LPK_3601045(sub_1000142B)

 

以上就是hra33.dll当中的操作。

总结

手工查杀步骤或是工具查杀步骤或是查杀思路等。

 

1、使用PcHumter结束病毒程序

 

2、删除HKEY_LOCAL_MACHINE\system\CurrentControlset\services\Ghijkl Nopqrstu Wxy下注册表键;

 

3、结束服务:Ghijkl Nopqrstu Wxy,删除服务对应的exe文件。

 

4、删除C:\windows\system32\hra33.dll文件;

 

5、删除生成的lpk.dll文件。

 

样本文件如下,请在虚拟机中运行!!!
提取码1234
https://pan.baidu.com/s/1EeLqt_l263-6nscIGX1y7g


[公告] 欢迎大家踊跃尝试高研班11月试题,挑战自己的极限!

收藏
点赞4
打赏
分享
最新回复 (3)
雪    币: 32
活跃值: 活跃值 (492)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
兴达电子 活跃值 2021-8-3 16:05
2
0
很详细,学习一下。。。
雪    币: 521
活跃值: 活跃值 (286)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
maxwudi 活跃值 2021-8-4 04:38
3
0
似乎0x3后是CC/UDP的攻击发包。
雪    币: 0
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
mb_plkoupkf 活跃值 2021-10-6 16:22
4
0
可以加Q交流一下吗 852056282
游客
登录 | 注册 方可回帖
返回