木马
样本分析&分享
JustPlay 2018-03-16 11:20:37 1277人浏览

样本流程图

image.png

文件保护分析

        样本运行后,首先在AppData\Local\Temp\Floder文件中释放应用程序name.exe。此应用程序和样本本身只是名称不一样。然后使用cmd.exe启动reg.exe在HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows下创建自启动项。名称为Load,表示开机以最小化窗口运行。创建子进程tmp.exe和进程自身执行主要的恶意行为。

执行行为分析

[1] 在HKCU\Software\Microsoft\WindowsNT\CurrentVersion\Windows下创建自启动项,实现持续性攻击。

 [2] 通过遍历HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall这个注册表项下面的UninstallString和DisplayName键值来获取软件名和和安装路径。

 [3] 通过读取特定的注册表项或键值.ini 文件,.dat 文件以及数据库获得30余种RTP客户端软件的账号密码信息。

 [4]执行完恶意功能后实现自删除。

文件操作

在App Data\Local\Temp下创建文件夹FolderN,并且在此文件夹下面创建文件name.exe,并将此应用程序添加到相应的注册表中实现自启动。 

在AppData\Local\Temp下创建文件tmp.exe用来实现主要的恶意行为         

在AppData\Local\Temp下创建bat文件,此文件的作用是用来让应用程序实现自删除功能。         

遍历系统文件夹,搜索FTP客户端软件的数据文件,窃取用户的账号信息。

网络行为

样本自身构造URL,网址为http://andmarquez.com/verify/admin/Panel/gate.php此URL对应的IP为107.180.3.11。这个IP关联的域名如下:

image.png

样本首先会给服务器发送连接信息,一旦收到服务器的回传信息,就会将窃取到的用户信息加密后发送到服务器端。

进程分析

如下为样本的进程树

image.png

创建的子进程tmp.exe实现主要的恶意行为,窃取用户的账号信息。完成恶意行为后通过cmd.exe启动bat文件删除自身。

image.png

下图为bat文件的内容

image.png

注册表行为

从进程树可以看出,主样本通过cmd进程创建reg.exe,在注册表中添加项值,实现持续性攻击,Load字段表示以最小化窗口运行

image.png

信息窃取

遍历注册表项\REGISTRY\MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL下的值,搜集已经安装的应用程序的信息并且发送到服务器。 

查询FTP客户端软件相应的注册表值,获取账户信息,以下信息为分析时捕获到的部分字符串,详细信息可以从微步云沙箱中查看。

Software\Far\Plugins\FTP\Hosts
Software\Far2\Plugins\FTP\Hosts
Software\Far Manager\Plugins\FTP\Hosts
Software\Far\SavedDialogHistory\FTPHost
Software\Far2\SavedDialogHistory\FTPHost
Software\Far Manager\SavedDialogHistory\FTPHost
Password
HostName
User

查询的FTP客户端包含Wcs_FTP,IpSwitch,Cute FTP,Flash FXP,FileZilla,BulleProof Software,SmartFTP,FTP Explorer,Frigate3,FTPRush,BitKinex,expenDriver,Directory Opus,Leap FTP,32BitFTP,NetDriver,Blaze FTP,Net Driver,Nova FTP,FTPGetter,AlFTP,Visicom Media,Global Downloader,3D-FTP等。

微步云沙箱分析报告:

https://s.threatbook.cn/report/win7_sp1_enx86_office2013_sp1/01bc84c9e5725748cd767d0f92687f53b481dd1752f6b213ebfe625dad95a8de/

Hash(1) 检测结果 关联样本 微步标签 免费 全部 < 1/1 >
评论 16
匿名用户 2018-05-22 16:04:08 回复
还有这种操作?
匿名用户 2018-05-21 16:17:59 回复
不错
匿名用户 2018-05-21 16:11:56 回复
姿势可以
匿名用户 2018-05-21 16:10:32 回复
姿势可以
匿名用户 2018-05-21 16:07:50 回复
学习学习1
h0st 2018-05-21 16:07:18 回复
新姿势学习下。。。
匿名用户 2018-05-21 16:06:29 回复
学习学习
匿名用户 2018-05-21 16:04:42 回复
厉害了
匿名用户 2018-05-21 15:57:04 回复
学习个
匿名用户 2018-05-21 15:50:14 回复
niupi 1
匿名用户 2018-05-21 15:49:16 回复
niupi
匿名用户 2018-05-21 15:48:01 回复
77777
匿名用户 2018-05-21 15:46:56 回复
666
匿名用户 2018-05-21 15:45:37 回复
666
匿名用户 2018-05-21 15:44:32 回复
666
微步情报局 2018-03-16 16:15:37 回复
感谢分析和提交,如果我有权限 我一定帮你编辑下样式。。。