一個連接引起的「惡意執行」

時間 2020-01-31

標籤一個連接引起惡意執行简体版

原文原文鏈接

引子：
最近研究算法上癮了，也分析了一些最新的惡意軟件（後續更），今早瀏覽樣本的時候發現一款老病毒，大致分析了一下，還算有趣因此簡單分享一下。

病毒分析：
一、解壓樣本後，只發現了一個連接？？連接名叫帳號密碼，我第一次看到居然雙擊了（其實知道有隱藏文件，習慣性的操做很可怕），雙擊後感受就中招了，以下所示：算法

圖片一：樣本
二、右擊查看一下連接屬性及連接位置，發現是一個該文件夾下vb腳本的快捷方式，調整一下文件夾顯示屬性：

圖片二：VBS
三、用010打開.vbs來看一下代碼，以下所示：

圖片三：隱式執行
四、利用shell執行了~\jpg.exe，打開文件夾繼續跟中一下，以下所示：

圖片四：隱士文件夾
五、文件夾中有jpg.jpg圖片，還有.ini初始化文件，怎麼下手分析？Shell對象執行了jpg.exe，那麼靜態分析，不過先看一下jpg圖片與.ini數據，以下所示：

圖片五：數據查看
六、IDA中靜態觀察一下jpg.exe安裝程序，以下所示：

圖片六：jpg.exe
七、由於是分析過了，因此函數名稱已改爲WriteLog，進入函數分析一下：

圖片七：追加（建立）日誌
八、日期格式化輸出，寫入文件，以下所示：

圖片八：C標準文件流
九、而後設置了環境變量等屬性，以下所示：

圖片九：環境屬性
十、分享一段彙編代碼，memset的彙編原理，從彙編來看，真的是高效率（論時效）以下：shell

xor     eax, eax
lea     edi, [esp+21Ch+var_103]
mov     [esp+21Ch+Value], 0
rep stosd
stosw

來看rep stos這條指令，以下所示：網絡

操做碼	指令	詳細
F3 AA	REP STOS m8	使用 AL 填寫位於 ES:[(E)DI] 的 (E)CX 個字節
F3 AB	REP STOS m16	使用 AX 填寫位於 ES:[(E)DI] 的 (E)CX 個字
F3 AB	REP STOS m32	使用 EAX 填寫位於 ES:[(E)DI] 的 (E)CX 個雙字

十一、IDA總體瀏覽了一下，發現每個操做都會有詳細的日誌記錄，並且以Entry -- Leave爲完成標誌，日誌記錄以下：

圖片十：日誌記錄
解析整個流程以下：
一、進入Setup.exe安裝
二、調用了SetEnvironment
三、環境變量SetupExeLocation設置爲C:\Users\15pb-win7\Desktop\當前路徑
四、環境變量PROCESSOR_ARCHITECTURE設置爲x86
五、SetEnvironments返回1成功
六、CmdLine：baidu.com 文件名稱
七、建立了註冊表：
八、離開了Setup.exe

圖片十一：註冊表建立
十二、上面步驟是以日誌過程分析的，根據實際彙編來看，建立進程之後纔會進行註冊表操做，以下所示：

圖片十二：建立進程
1三、剩下的就是命名爲baidu.com.exe的可執行文件了，火絨見先運行看看行爲，運行後居然彈出了jpg,jpg的圖片，以下所示：

圖片十三：baidu.com.exe
1四、這時候捋一捋，雙擊最開始快捷方式-->會執行VB-->執行jpg.exe-->執行baidu.com.exe打開圖片.。
意味着雙擊快捷方式就會打開圖片，其實已經運行了惡意程序baidu.com.exe程序，圖片是爲了假裝，迷惑受害者，覺得雙擊的快捷方式就是一個圖片（文章最後附整個思惟導圖）。
1五、看一看火絨劍的監控信息，有明顯的鏈接發送socket網絡，意味着數據的泄露與惡意盜取，有着特洛伊的特性（遠控）,以下所示：

圖片十四：行爲監控
1六、先線上分析一下，看一下更爲精準的惡意描述，以下所示：

圖片十五：線上分析socket

1七、線上分析辨別出這並非一個高危病毒（雖然不必定準確），有url與ip，意味着可能會下載惡意代碼和上傳系統/我的敏感數據。
其實這個沒有殼，一開始已經拉入PDIE查看了基本信息，可是又壓縮與加密函數，補圖一張，以下所示：

圖片十六：PEID分析
由於本篇帖子重點不是樣本分析，因此最後樣本不進行詳細分析，整篇帖子注重於整個手法與假裝手段，以下所示：

圖片十七：思惟導圖ide

相關標籤/搜索

每日一句

每一个你不满意的现在，都有一个你没有努力的曾经。