🔥 热搜 🔥
百度今日热点微信公众平台贴吧opggdnf私服百度贴吧知乎dnf公益服百度傻逼
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
百度今日热点微信公众平台贴吧opggdnf私服百度贴吧知乎dnf公益服百度傻逼
分类
社会娱乐国际人权科技经济其它
查看原文
其他

【远控木马】银狐组织最新木马样本-分析

安全裤 看雪学苑 2023-11-23



样本信息


文件名: 2023财会人员薪资补贴调整新政策所需材料.exe
MD5: 20fbd9ac1097d4da587f0e353bbecb80
SHA256: d7bc758160ca6ddaa7ac16ff2a1c48a8481ed0cde96baa9d9fe6608b34f076c6

样本主要行为:


从指定链接http://27,124,40,155:8000/j-1 下载文件并执行;该文件从指定的URL处下载多个载荷文件并执行;





j-1 分析:


文件信息:


MD5:87c42dee312435c37b095e9a81c9a92a
SHA-1:89e1ac9649ab6439d1e8804b6824a3ec5664bda7
SHA-256:bf3235239dc43b72dc1a0496f507f1ba8545d0fc4c7651d2d55107e8ec76c7ec

样本主要行为:


从指定的URL处下载多个载荷文件并执行;


详细分析:


程序运行后会检测360程序,有360程序则会弹框,并退出程序执行。


弹框内容如下



下载文件


从指定的url处分别下载一个exe,一个.dat,和edge.jpg,edge.xml;其中exe和.dat使用同一个随机名称;所有文件保存到\Users\用户\AppData\Roaming目录下。


最终的下载链接如下:


下载完成后,执行随机名称的exe。




随机名称exe分析


随机名称的exe实际为tu_rt.exe; 此程序为白文件实际是NetSarang系列工具更新程序;但已被病毒利用,加载同一目录下的的同名.dat文件。

.dat是被zip格式加密压缩的文件;逆向tu_rt.exe能看到密码。


这里直接使用7z对.dat解压得到:


其中_TUProj.dat开头插入了病毒脚本:


被解压出的shellcode启动后会读取并修复当前目录下的.xml文件的前4个字节,而修复后的内容实际上是一个PE结构的可执行程序。


修复后的PE可执行程序运行后,会向系统中添加计划任务用以定期启动自动执行。同时,程序还会解密同目录下的.png及.jpg文件,这次解压出的程序为真正的远控程序。

持续驻留


木马会添加一个伪装为Onedrive、Microsoft Edge等名称的计划任务:


对jpg的解密



sub_100019A0即为解密函数;可以用c++调用shellcode快速解密;
sub_10002630为查找调用dll的Edge;
解密后的jpg文件中会包含一个dll文件。

DLL文件分析


实际文件为远控木马,远控功能如下:

设置隐藏文件



反分析检测



下载文件并释放到指定目录,并设置隐藏



监控按键



设置持久化



添加服务



更新C2后门地址



获取QQ号



其他功能


此外,该木马具有常见远控的所有功能,如:截图,收集系统信息等其他。





看雪ID:安全裤

https://bbs.kanxue.com/user-home-595341.htm

*本文为看雪论坛优秀文章,由 安全裤 原创,转载请注明来自看雪社区


# 往期推荐

1、IOFILE exploit入门

2、入门编译原理之前端体验

3、如何用纯猜的方式逆向喜马拉雅xm文件加密(wasm部分)

4、反恶意软件扫描接口(AMSI)如何帮助您防御恶意软件

5、sRDI — Shellcode反射式DLL注入技术

6、对APP的检测以及参数计算分析




球分享

球点赞

球在看

继续滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存