查看: 3143|回复: 2
收起左侧

[分享] 后门病毒伪装Word文档,利用钓鱼邮件传播

[复制链接]
火绒工程师
发表于 2023-3-9 15:47:23 | 显示全部楼层 |阅读模式
本帖最后由 火绒工程师 于 2023-3-13 15:58 编辑

近期,火绒工程师发现针对国内企业投放病毒的威胁事件,经排查分析后,确认为后门病毒,主要通过钓鱼邮件进行传播,其会伪装成Word文档来诱导用户打开。


伪装成word文档的病毒样本


当用户被诱导点击运行病毒后,黑客可通过C&C服务器下发各类指令来执行各种恶意功能,如:恶意代码注入、利用开机自启来进行持久化操作、获取系统进程信息等恶意功能。不仅如此,该病毒还会使用多种手段(控制流混淆、字符串混淆、API混淆)来躲避杀毒软件的查杀。

病毒的执行流程,如下图所示:


病毒执行流程


对此,火绒安全提醒用户不要轻易点击来历不明的邮件附件,火绒安全产品可对该病毒进行拦截查杀。


查杀图


一、样本分析

混淆手段
该病毒启动后会率先执行一段shellcode,相关代码,如下图所示:


执行shellcode

在shellcode中使用多种手段来对抗杀毒软件的查杀,如:控制流混淆、字符串混淆、API混淆等。控制流混淆,如下所示:


控制流混淆

字符串混淆,每个字符串使用时,动态进行解密,并且每个字符串都有单独的解密函数,不同字符串解密函数对比,如下图所示:


不同字符串解密函数对比

API混淆,在shellcode中会将用到的API地址加密并保存,使用时动态解密出来,如下所示:


加密API地址

使用API之前会动态进行解密,利用位运算特性,每次解密的方法不同,但是结果一致,如下图所示:


不同解密方式

恶意行为
获取本机的信息(用户名、计算机名、系统版本等)并发送给C&C服务器,如下图所示:


发送上线包

黑客可通过C&C服务器下发命令来执行各种恶意功能如:执行任意CMD命令、下发任意恶意模块、进程注入、获取系统进程信息、持久化等恶意功能,以下进行分析。

启动进程,该功能常被用于执行CMD命令,可执行C&C服务器下发的任意的恶意命令,相关代码,如下图所示:


启动进程

该样本具备多种注入手段,一利用傀儡进程将恶意模块注入到其他进程中执行;二利用远程线程来在其他进程中执行恶意代码,傀儡进程注入,相关代码,如下图所示:


傀儡进程注入

远程线程注入,相关代码,如下图所示:


远程线程注入

获取系统进程信息,相关代码,如下图所示:


获取系统进程信息

获取指定目录文件信息,相关代码,如下图所示:


遍历目录文件

可通过添加服务来进行持久化,相关代码,如下图所示:


持久化

二、附录
C&C


HASH


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
dsb2466
头像被屏蔽
发表于 2023-3-9 16:40:13 | 显示全部楼层
火绒工程师
 楼主| 发表于 2023-3-10 09:35:40 | 显示全部楼层
本帖最后由 火绒工程师 于 2023-3-10 09:50 编辑

感谢您的支持
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-21 22:34 , Processed in 0.123921 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表