PBot很多程序员都知道吧?深度分析一款基于python的恶意软件!

样本分析

· 5ffefc13a49c138ac1d454176d5a19fd – EK释放的下载器

· b508908cc44a54a841ede7214d34aff3 –恶意安装器(MinerBlocker)

· e5ba5f821da68331b875671b4b946b56 –注入python的主DLL

· 596dc36cd6eabd8861a6362b6b55011a – injecteex64 (注入浏览器的DLL,64位)

· 645176c6d02bdb8a18d2a6a445dd1ac3 – injecteex86 (注入浏览器的DLL,64位)

传播方法

上面描述的样本是RIG利用套件释放的:

行为分析

安装

利用套件释放的主执行文件是一个下载器。这个下载器非常简单,并且没有混淆。可以看到资源中的脚本:

作用是取出第二个安装器,其中第二个安装器中含有所有的恶意python脚本。第二个部分就是MinerBlocker。

如果下载的组件单机运行,那么行为就是一个正常的、合法的安装器。而且会看到下面的信息:

这看起来像一个拦截恶意挖矿机的合法应用。但是研究人员没有找到类似产品相关的网站。

当原来的下载器以原来的组件运行,安装过程就是全静默的。并且会在%APPDATA%文件夹中释放包。

组件

释放的应用含有多个元素,可以看到运行释放脚本所需要的python的完全安装。一起安装的还含有卸载软件uninstall.exe,一旦应用就会完全移除该包。

在js目录中,可以看到一个JS脚本文件i.js:

在configs中,有两个配置文件:rules.ini和settings.ini。

2)可能被攻击的浏览器进程列表:

3)IP和域名的白名单集。域名是base64编码的,解码后可以看到不同的俄罗斯银行站点。结果确认,这些站点都没有被感染。

通过在注册表中运行key来达到驻留的目的。

ml.py脚本运行后,就会使用另一个python组件,httpfilter.py和.ini文件:

将该脚本与js目录中的脚本对比:

恶意软件会伪造证书并执行MIMB攻击。站点的HTTPS合法证书被一个“The Filter”签发的假的证书所取代,而The Filter是一个恶意实体:

PE header定义片段:

并且会手动加载PE文件,加载器开头:

重定向执行到入口点。然后可以找到解混淆的加载器。

注:用python写的PE注入器是很少见的。

注入器(DLL)

注入python的DLL是恶意软件的主要组件。该组件会被注入到Python可执行文件当中:

注入器会从配置文件中取回传递的参数。可以看到这并不是之前脚本传递的参数。

开发者预留了一些调试字符串,这就让执行流很容易明白。

injectee是植入到浏览器中的,并且负责hook对应的DLL。下面是hooking函数的开始:

hooking函数是这事件的标准类型。负责接收特定输出函数的地址,然后重写重定向到含有恶意DLL的函数的开头。

目标是分割证书的函数(Crypt32.dll)和发送接收数据的函数(ws32_dll):

通过PE-sieve可以dump hook,就可以看到这些函数如何被重定向到恶意软件。下面是从DLL中收集的标签列表:

From Crypt32:

From ws32_dll:

从上面可以看出,地址都被重定向到injectee DLL,DLL是在base 50000被加载的。比如,函数WSASend被监听,执行的过程被重定向到injectee dll中RVA 0xd90处的函数。

监听函数的开始:

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180424A0YIKU00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券