【远控木马】银狐组织最新木马样本-分析
2023-11-19 17:16:13 Author: mp.weixin.qq.com(查看原文) 阅读量:85 收藏 

样本信息
文件名: 2023财会人员薪资补贴调整新政策所需材料.exe
MD5: 20fbd9ac1097d4da587f0e353bbecb80
SHA256: d7bc758160ca6ddaa7ac16ff2a1c48a8481ed0cde96baa9d9fe6608b34f076c6

样本主要行为:

 从指定链接http://27,124,40,155:8000/j-1 下载文件并执行;该文件从指定的URL处下载多个载荷文件并执行;

j-1 分析:

文件信息:

MD5:87c42dee312435c37b095e9a81c9a92a
SHA-1:89e1ac9649ab6439d1e8804b6824a3ec5664bda7
SHA-256:bf3235239dc43b72dc1a0496f507f1ba8545d0fc4c7651d2d55107e8ec76c7ec

样本主要行为:

从指定的URL处下载多个载荷文件并执行;

详细分析:

程序运行后会检测360程序,有360程序则会弹框,并退出程序执行。

弹框内容如下

下载文件

从指定的url处分别下载一个exe,一个.dat,和edge.jpg,edge.xml;其中exe和.dat使用同一个随机名称;所有文件保存到\Users\用户\AppData\Roaming目录下。

最终的下载链接如下:

下载完成后,执行随机名称的exe。

随机名称exe分析
随机名称的exe实际为tu_rt.exe; 此程序为白文件实际是NetSarang系列工具更新程序;但已被病毒利用,加载同一目录下的的同名.dat文件。
.dat是被zip格式加密压缩的文件;逆向tu_rt.exe能看到密码。

这里直接使用7z对.dat解压得到:

其中_TUProj.dat开头插入了病毒脚本:

被解压出的shellcode启动后会读取并修复当前目录下的.xml文件的前4个字节,而修复后的内容实际上是一个PE结构的可执行程序。
修复后的PE可执行程序运行后,会向系统中添加计划任务用以定期启动自动执行。同时,程序还会解密同目录下的.png及.jpg文件,这次解压出的程序为真正的远控程序。

持续驻留

木马会添加一个伪装为Onedrive、Microsoft Edge等名称的计划任务:

对jpg的解密


sub_100019A0即为解密函数;可以用c++调用shellcode快速解密;
sub_10002630为查找调用dll的Edge;
解密后的jpg文件中会包含一个dll文件。

DLL文件分析

实际文件为远控木马,远控功能如下:

设置隐藏文件

反分析检测

下载文件并释放到指定目录,并设置隐藏

监控按键

设置持久化

添加服务

更新C2后门地址

获取QQ号

其他功能

此外,该木马具有常见远控的所有功能,如:截图,收集系统信息等其他。

看雪ID:安全裤

https://bbs.kanxue.com/user-home-595341.htm

*本文为看雪论坛优秀文章,由 安全裤 原创,转载请注明来自看雪社区

# 往期推荐

1、IOFILE exploit入门

2、入门编译原理之前端体验

3、如何用纯猜的方式逆向喜马拉雅xm文件加密(wasm部分)

4、反恶意软件扫描接口(AMSI)如何帮助您防御恶意软件

5、sRDI — Shellcode反射式DLL注入技术

6、对APP的检测以及参数计算分析

球分享

球点赞

球在看


文章来源: https://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458528787&idx=1&sn=947b0b7f9ade1cbf249f29ee345237e3&chksm=b18d1c9986fa958f377b1b14f33c060ed7495b3d2e9cb7b33f5c4d41686093b31fed10be1735&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh