昨天客户在制作复工资料时中的毒。过智量

显示全部楼层 · 发表于 2020-2-18 13:49:16

本帖最后由 yjwfdc 于 2020-2-18 14:34 编辑

昨天客户在制作复工资料时中的毒。

电脑里装了360，当时不报，现在报两个。

EzVIZljF.dll没有写好，加载入explorer.exe时，出错。可能是针对win10编写的吧

qAdigtlDPt是无扩展名的pe文件，64位，我的win7 32运行不了。

好象智量一个都没杀到。

驱动签名已被取消

第三个文件有正常的数字签名

显示全部楼层 · 发表于 2020-2-18 18:22:18

本帖最后由 lifan88 于 2020-2-19 15:55 编辑

占楼，先把我虚拟机的诡异rootkit干死再说

2020-2-19终于干死了，修好了虚拟机
楼主求顶置

那个PE文件是加了VMP的驱动，我还没测试

另一个Ht Srl签名驱动应该是一个负责联网和DLL加载的loader，没有看到其他行为，就联一下网，创建dll和加密内容的data，然后应该是利用ZwTestAlert把dll无特征送进explorer，最后无钩子锁死加载驱动的当前目录...(注入方式和火绒非常相似，估计都是从github上某源码直接弄过来的)：
[ANSI] 0x0000a04c: 烫烫ZwProtectVirtualMemory
[ANSI] 0x0000a068: 烫烫烫烫LdrLoadDll
[ANSI] 0x0000a07c: 烫烫ZwTestAlert

测试条件：VM-Win10-x64-1709
加载驱动后动作：

11:45:25:969,       System,       4:340,       0,       REG_openkey,       HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EzVIzLjF_Service,       access:0x00020019 ,       0x00000104 [因为文件名产生符号链接，所以需由对象管理器重新运行分析操作。  ],

11:45:25:969,       System,       4:340,       0,       REG_openkey,       HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EzVIzLjF_Service,       access:0x00020019 ,       0x00000000 [操作成功完成。  ],

11:45:25:969,       System,       4:340,       0,       REG_getval,       HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EzVIzLjF_Service\ImagePath,       type:0x00000002 datalen:82 data:'5C 00 3F 00 3F 00 5C 00 43 00 3A 00 5C 00 55 00 ' ,       0x00000000 [操作成功完成。  ],

11:45:25:969,       System,       4:340,       0,       REG_getval,       HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EzVIzLjF_Service\Type,       type:0x00000004 datalen:4 data:'01 00 00 00 ' ,       0x00000000 [操作成功完成。  ],

11:45:25:969,       System,       4:340,       0,       FILE_open,       C:\Users\\Desktop\EzVIzLjF.sys,       access:0x00000020 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000000 ,       0x00000000 [操作成功完成。  ],

11:45:25:969,       System,       4:340,       0,       REG_openkey,       HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Compatibility\Driver\EzVIzLjF.sys,       access:0x00020019 ,       0x00000104 [因为文件名产生符号链接，所以需由对象管理器重新运行分析操作。  ],

11:45:25:969,       System,       4:340,       0,       REG_openkey,       HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Compatibility\Driver\EzVIzLjF.sys,       access:0x00020019 ,       0xC0000034 [系统找不到指定的文件。  ],

11:45:25:969,       System,       4:340,       0,       FILE_open,       C:\Windows\apppatch\drvmain.sdb,       access:0x00120089 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000000 ,       0x00000000 [操作成功完成。  ],

11:45:25:984,       System,       4:340,       0,       REG_getval,       HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EzVIzLjF_Service\ImagePath,       type:0x00000002 datalen:82 data:'5C 00 3F 00 3F 00 5C 00 43 00 3A 00 5C 00 55 00 ' ,       0x00000000 [操作成功完成。  ],

11:45:25:984,       System,       4:340,       0,       FILE_open,       C:\Windows\apppatch\drvmain.sdb,       access:0x00120089 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000000 ,       0x00000000 [操作成功完成。  ],

11:45:25:984,       System,       4:340,       0,       FILE_open,       C:\Users\\Desktop\EzVIzLjF.sys,       access:0x00120089 alloc_size:0 attrib:0x00000080 share_access:0x00000005 disposition:0x00000001 options:0x00000060 ,       0x00000000 [操作成功完成。  ],

11:45:25:984,       System,       4:340,       0,       REG_setval,       HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EzVIzLjF_Service\ia,       type:0x00000004 datalen:4 data:'01 00 00 00 ' ,       0x00000000 [操作成功完成。  ],

11:45:25:984,       System,       4:340,       0,       REG_getval,       HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EzVIzLjF_Service\ImagePath,       type:0x00000002 datalen:82 data:'5C 00 3F 00 3F 00 5C 00 43 00 3A 00 5C 00 55 00 ' ,       0x00000000 [操作成功完成。  ],

11:45:25:984,       services.exe,       680:1100,       0,       REG_openkey,       HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EzVIzLjF_Service,       access:0x00080000 ,       0xC0000022 [拒绝访问。  ],
11:45:25:984,       加驱用.exe,       844:4432,       844,       SYS_load_kmod,       C:\Users\\Desktop\EzVIzLjF.sys,       ,       0xC0000001 [连到系统上的设备没有发挥作用。  ],       （实际已经送进内核了，也导致桌面隐藏并且锁死了，无任何钩子。。。）

11:45:25:984,       System,       4:2328,       0,       NET_connect,       144.48.141.137:12588,       protocol:(TCP)0 ,       0x00000000 [操作成功完成。  ],

11:45:25:984,       System,       4:2588,       0,       FILE_touch,       C:\Users\\Desktop\EzVIzLjF.dll,       access:0x00120116 alloc_size:0 attrib:0x00000080 share_access:0x00000002 disposition:0x00000005 options:0x00000020 ,       0x00000000 [操作成功完成。  ],

11:45:25:984,       System,       4:2588,       0,       FILE_truncate,       C:\Users\\Desktop\EzVIzLjF.dll,       eof:0x00000000 ,       0x00000000 [操作成功完成。  ],

11:45:25:984,       System,       4:2588,       0,       FILE_write,       C:\Users\\Desktop\EzVIzLjF.dll,       offset:0x00000000 datalen:0x000C0400 ,       0x00000000 [操作成功完成。  ],

11:45:25:984,       System,       4:2588,       0,       FILE_modified,       C:\Users\\Desktop\EzVIzLjF.dll,       ,       0x00000000 [操作成功完成。  ],

11:45:26:031,       System,       4:2328,       0,       REG_openkey,       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\,       access:0x00020019 ,       0x00000000 [操作成功完成。  ],

11:45:26:031,       System,       4:2328,       0,       REG_getval,       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate,       type:0x00000004 datalen:4 data:'8E AF 00 5E ' ,       0x00000000 [操作成功完成。  ],

11:45:26:031,       System,       4:2328,       0,       REG_getval,       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate,       type:0x00000004 datalen:4 data:'8E AF 00 5E ' ,       0x00000000 [操作成功完成。  ],

11:45:26:031,       System,       4:2328,       0,       NET_send,       144.48.141.137:12588,       protocol:(TCP)0 datalen:281 data:'47 45 54 20 2F 53 65 72 76 65 72 2F 3F 62 77 6A ' ,       0x00000000 [操作成功完成。  ],

11:45:26:328,       System,       4:2328,       0,       FILE_touch,       C:\Users\\Desktop\EzVIzLjF.data,       access:0x00120116 alloc_size:0 attrib:0x00000080 share_access:0x00000002 disposition:0x00000005 options:0x00000020 ,       0x00000000 [操作成功完成。  ],

11:45:26:328,       System,       4:2328,       0,       FILE_truncate,       C:\Users\\Desktop\EzVIzLjF.data,       eof:0x00000000 ,       0x00000000 [操作成功完成。  ],

11:45:26:328,       System,       4:2328,       0,       FILE_write,       C:\Users\\Desktop\EzVIzLjF.data,       offset:0x00000000 datalen:0x000006B0 ,       0x00000000 [操作成功完成。  ],

11:45:26:328,       System,       4:2328,       0,       FILE_modified,       C:\Users\\Desktop\EzVIzLjF.data,       ,       0x00000000 [操作成功完成。  ],

11:45:26:359,       SearchIndexer.exe,       1548:4000,       0,       REG_openkey,       HKEY_CLASSES_ROOT\.data,       access:0x00020019 ,       0xC0000034 [系统找不到指定的文件。  ],       （系统此时已经发现有data创建，然而读不到文件）

11:45:26:359,       System,       4:2328,       0,       REG_openkey,       HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control,       access:0x000F003F ,       0x00000104 [因为文件名产生符号链接，所以需由对象管理器重新运行分析操作。  ],

11:45:26:359,       System,       4:2328,       0,       REG_openkey,       HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control,       access:0x000F003F ,       0x00000000 [操作成功完成。  ],

11:45:26:359,       System,       4:2328,       0,       REG_openkey,       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\,       access:0x000F003F ,       0x00000000 [操作成功完成。  ],

11:45:26:359,       System,       4:2328,       0,       REG_setval,       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA,       type:0x00000004 datalen:4 data:'00 00 00 00 ' ,       0x00000000 [操作成功完成。  ],

11:45:27:015,       Explorer.EXE,       4076:4360,       0,       FILE_open,       C:\Users\\Desktop\EzVIzLjF.dll,       access:0x00100080 alloc_size:0 attrib:0x00000080 share_access:0x00000007 disposition:0x00000001 options:0x00000020 ,       0x00000000 [操作成功完成。  ],

11:45:27:015,       Explorer.EXE,       4076:4360,       0,       FILE_open,       C:\Users\\Desktop\EzVIzLjF.dll,       access:0x00100080 alloc_size:0 attrib:0x00000080 share_access:0x00000007 disposition:0x00000001 options:0x00000020 ,       0x00000000 [操作成功完成。  ],

最后因为explorer注册表动作炸裂多，就不附上了，然而有cmpcallback情况下，最初启动设置的demand，结果重启就不启动了

。。。

显示全部楼层 · 发表于 2020-2-19 15:51:05

本帖最后由 lifan88 于 2020-2-19 15:53 编辑

加了VMP那个非常诡异，就是那个无后缀名的PE文件，这是个驱动，没有后续动作，要么被针对了，要么就是真没动作（虚拟机被检测）
测试条件：VM-WIN10-X64-1709
改名字后加载驱动后动作：
15:23:51:588,       services.exe,       740:2672,       0,       REG_openkey,       HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\q_Service,       access:0x00020019 ,       0x00000000 [操作成功完成。  ],

15:23:51:588,       System,       4:152,       0,       REG_openkey,       HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\q_Service,       access:0x00020019 ,       0x00000104 [因为文件名产生符号链接，所以需由对象管理器重新运行分析操作。  ],

15:23:51:588,       System,       4:152,       0,       REG_openkey,       HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\q_Service,       access:0x00020019 ,       0x00000000 [操作成功完成。  ],

15:23:51:588,       System,       4:152,       0,       REG_getval,
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\q_Service\ImagePath,       type:0x00000002 datalen:84 data:'5C 00 3F 00 3F 00 5C 00 43 00 3A 00 5C 00 55 00 ' ,       0x00000000 [操作成功完成。  ],

15:23:51:588,       System,       4:152,       0,       REG_getval,       HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\q_Service\Type,       type:0x00000004 datalen:4 data:'01 00 00 00 ' ,       0x00000000 [操作成功完成。  ],

15:23:51:588,       System,       4:152,       0,       FILE_open,       C:\Users\\Desktop\ttttttt\q.sys,       access:0x00000020 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000000 ,       0x00000000 [操作成功完成。  ],

15:23:51:667,       System,       4:152,       0,       REG_openkey,       HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Compatibility\Driver\q.sys,       access:0x00020019 ,       0x00000104 [因为文件名产生符号链接，所以需由对象管理器重新运行分析操作。  ],

15:23:51:682,       System,       4:152,       0,       REG_openkey,       HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Compatibility\Driver\q.sys,       access:0x00020019 ,       0xC0000034 [系统找不到指定的文件。  ],

15:23:51:682,       System,       4:152,       0,       FILE_open,       C:\Windows\apppatch\drvmain.sdb,       access:0x00120089 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000000 ,       0x00000000 [操作成功完成。  ],

15:23:51:682,       System,       4:152,       0,       REG_getval,       HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\q_Service\ImagePath,       type:0x00000002 datalen:84 data:'5C 00 3F 00 3F 00 5C 00 43 00 3A 00 5C 00 55 00 ' ,       0x00000000 [操作成功完成。  ],

15:23:51:682,       System,       4:152,       0,       FILE_open,       C:\Windows\apppatch\drvmain.sdb,       access:0x00120089 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000000 ,       0x00000000 [操作成功完成。  ],

15:23:51:682,       System,       4:152,       0,       FILE_open,       C:\Users\\Desktop\ttttttt\q.sys,       access:0x00120089 alloc_size:0 attrib:0x00000080 share_access:0x00000005 disposition:0x00000001 options:0x00000060 ,       0x00000000 [操作成功完成。  ],

15:23:51:729,       System,       4:152,       0,       REG_openkey,       HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\q_Service,       access:0x000F003F ,       0x00000000 [操作成功完成。  ],

15:23:51:729,       System,       4:152,       0,       REG_getval,       HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\q_Service\ImagePath,       type:0x00000002 datalen:84 data:'5C 00 3F 00 3F 00 5C 00 43 00 3A 00 5C 00 55 00 ' ,       0x00000000 [操作成功完成。  ],

15:23:51:729,       services.exe,       740:2672,       0,       REG_openkey,       HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\q_Service,       access:0x00020019 ,       0xC0000033 [文件名、目录名或卷标语法不正确。  ],       （源目录加载驱动会报上述错误）

15:23:51:729,       加驱用.exe,       2252:4732,       2252,       SYS_load_kmod,       C:\Users\\Desktop\ttttttt\q.sys,       ,       0xC0000001 [连到系统上的设备没有发挥作用。  ],       （火绒剑PCH检查已经进入内核，大部分驱动设备消失，应该是某个驱动被拒绝打开的缘故。该驱动加载后显示的是在drivers目录下的一个乱码名字，但是文件不存在，存在shutdown回调，但是重启全部自己disable，也没有文件在drivers下...）

不排除完全击穿火绒剑/PCH的可能

请问楼主如何发现这些的，似乎全部反虚拟机，虽然字符串里没看见，或者说缺少母体

显示全部楼层 · 发表于 2020-2-18 13:55:54

红伞杀1个

显示全部楼层 · 发表于 2020-2-18 13:56:04

火绒

显示全部楼层 · 发表于 2020-2-18 13:56:54

Avast

显示全部楼层 · 发表于 2020-2-18 14:00:33

saga3721 发表于 2020-2-18 13:55
红伞杀1个

杀那一个？

显示全部楼层 · 发表于 2020-2-18 14:02:34

火绒拉黑一个无后缀，智量杀一个sys 。

显示全部楼层 · 发表于 2020-2-18 14:06:14

www-tekeze 发表于 2020-2-18 14:02
火绒拉黑一个无后缀，智量杀一个sys 。

刚才不杀的，可能刚才有人上传了。

显示全部楼层 · 发表于 2020-2-18 14:08:26

微点，Scan Miss All 。

显示全部楼层 · 发表于 2020-2-18 14:11:31

yjwfdc 发表于 2020-2-18 14:06
刚才不杀的，可能刚才有人上传了。

那不知道，反正我不会上传后才来回帖。。

还希望是exe正想玩双击。。。

显示全部楼层 · 发表于 2020-2-18 14:13:45

yjwfdc 发表于 2020-2-18 14:00
杀那一个？

第3个

[病毒样本] 昨天客户在制作复工资料时中的毒。过智量

本帖子中包含更多资源

评分

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源