一次恶意代码分析记录

恶意代码分析

1.样本种类:远控后门

首先拿到样本文件,放置到虚拟机中,虚拟机做好快照防止因运行样本导致不可逆的损失,样本截图:

image

2.样本PE分析

使用工具EXEinfo 分析,发现该样本未加壳,为Microsoft Visual C++ ver 5.0/6.0编译,程序入口点为00002D4C。

image查看文件节表发现共有6个节表。
image

并且.text节有可执行权限。

image

查看文件导入表发现引用了kernel32.dll中的一些敏感api,大致可以看出有申请内存,释放内存,创建文件,写入文件,获取api地址基址等操作。

image

3.静态分析:

从main函数开始,先是调用了一些函数初始化环境,没有什么特别大的分析价值。
image

我们把目光放到sub_4010F5这个函数上发现向里面传递了两个参数aShellex和lpCmdLine,跟进去看看。

image
里面有很多函数挨个点进去看看,先看sub_4010AF是个解密函数具体内容看不懂。

image

再看sub_401168,第一眼看见有申请内存的操作,先是申请一段空间然后进行了拷贝,sub_401168里的其他几个函数也有申请内存,还有加载dll 的功能,推断这个函数是一个加载器。

image继续往下看sub_40113B发现对传入的参数a1进行操作二a1正是aShellex,打开函数看发现看不懂,应该是加解密功能。

image

接下来看就是有复制参数127.0.0.1给v5变量,然后sub_4010AA是一个释放空间的函数,大体功能分析完毕,进行注释如图。

image

分析到这里我很疑惑,这就结束了?没有看到shellcode,就是一些申请内存的一些api和调用dll的api一定有东西漏掉了,那么到底是哪个地方有缺漏,那么最有可能的地方就是那个解密的地方,因为那个地方分析的很模糊,所以用od来进行调试。

发现解密函数地址为00402317,用od转到该地址。image

image然后F2再F4,运行到该地址,然后单步步入F7。

image

继续F7,然后一直按F7运行完循环,发现结果最后有一个出栈pop 对应地址为0x408578,查看下该地址内容发现了MZ格式pe文件,所以这些就应该明白了,刚刚静态分析的只是一个外部加载器,真正的核心恶意代码是这个pe文件,然后用od进行导出。

image
image

导出以后用01editor打开把mz头前面部分鼠标右键删除掉保证他是一个pe文件。

image
image

删完之后用EXEinfo打开确实可以看到为pe文件,并且是一个dll文件并且还加了壳,imagebase为10000000入口点为10000000+0002647c。

image

继续向下运行OD发现,发现在0040235e地方调用了dll文件中的内容,由于在此之前调用了qmemcpy拷贝DLL各个区段到新内存,以及进行了一系列LoadLibrary和GetPorcAddress操作,猜测这是样本在对DLL进行脱壳,因此这个时候尝试再次dump,代码基址和数据基址可以在内存中定位。image

所以把内存中的东西dump出来。

image

得到了脱壳后的文件,然后用ide打开,进入dllentrypoint里先进行内存格式化然后加载本地dll创建互斥体。

image

下面创建了一个线程然后继续往下看。

image
sub_1000B580创建了一个事件,事件里有sub_1000_00。

image

分析sub_1000bi500![image-20220709154740098]。image

查看sub_10009ba0。

image

分析sub_100099d0。

image

回到主程序继续往下走如果dword_10023378=1就继续往下走有创建文件复制文件操作,然后进行休眠。

image

反之如果dword_10023C04=1就进行文件操作和创建的文件设置注册表启动服务操作。

image

总结

静态分析大致可以看出该样本从互联网下载程序并执行并且在本地有监听端口怀疑是后门命令交互,该样本有对注册表修改的操作应急排查需要重点排查注册表。
动态分析没有去跟,这个样本当时脱壳卡住了好久,勉勉强强分析完,还是不够全面,其实说白了还是自己的分析水平不高。

本文作者:Avienma, 转载请注明来自FreeBuf.COM

主题测试文章,只做测试使用。发布者:1869,转转请注明出处:https://community.anqiangkj.com/archives/19682

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022年7月14日 上午10:34
下一篇 2022年7月14日 上午10:36

相关推荐