针对某FakeAPP的样本分析

t0kenzero

新手第一次做样本分析，麻烦各位大佬多多指教orz   
本次分析是针对样本 https://bbs.kafan.cn/thread-2262215-1-1.html
  VT(17/71)  
由于是exe样本，通过process monitor追踪发现可以获得LINK.MSI。

由于获取到了MSI文件，分析起来就可以方便许多。因为MSI可以直接解压出cab包，再次解压就可以获得到所需文件。

第一眼看到exe和俩dll时，我还开心的以为是白加黑，可惜情况并不如我所愿 `b1b86e6fd9.OIL`/`d0437f784fad.LLL`/`dd5c0d72bf.SIJ`为三个压缩包（均有密码
exe和z.dll是7zip。只能把目光转向WEB.dll了，将WEB.dll丢入IDA后可以看到其有读取文件并拼接命令的行为。且从读取的文件也可以找到与上文所提压缩包名称一直。大致可以确定这个dll在对压缩包进行解压字符串的拼接。




通过拼接可以得到

1. C:\Users\Default\Desktop\(P0)LNKNEW\(P1)588388456db280daIJE.exe x C:\Users\Default\Desktop\(P0)LNKNEW\(P2)d0437f784fad.LLL -o(这个路径没找到哪来的orz)C:\Users\RhineLab\AppData\ -p(P3)0795ea6f59475671GHB -aos

复制代码

其内容与process monitor中捕获一致，可以确定该dll的确为解压函数拼接。

34dd5c0d72bf.SIJ   从既往样本来看，应该也是个白加黑。只不过在这里起到生成test.bat的作用
b1b86e6fd9.OIL   FakeAPP的TrueAPP
dd5c0d72bf.SIJ   upupoo的升级，白加黑本体  
dll定位完成，且存在伪造签名情况？（这个黑dll定位还是不大确定，最后还是靠vt来判断的






后续的坑等日后在填一下，每次涉及到ida和od 都会思路欠缺。

下面是大概的程序流程图，其实34dd5c0d72bf.SIJ 生成的test.bat做的事情更有趣，这个程序里面还有blackmoon的样本，分成A/B两部分试图逃离检查。


第一次分析样本，有很多不会与迷茫的地方，希望大佬轻喷。
如有问题麻烦指正orz

（总感觉这个fakeapp里的东西很杂，混了好几种白加黑进去 也不知道是不是错觉

mifanu

挺好的，我想知道它的目的是什么，如果能分析下它的目的就更好了。

wwwab

像这种通过命令行解压加密压缩包的很容易，不知道你有没有发现，实际上你看到的命令行里面，有个-p0795ea6f59475671GHB，像这种-p后面直接跟了一坨字符串的，那个字符串大概率就是解压密码



你试试拿0795ea6f59475671GHB作为解压密码直接解压msi cab里面的加密压缩包文件

t0kenzero

wwwab 发表于 2023-11-1 06:38
像这种通过命令行解压加密压缩包的很容易，不知道你有没有发现，实际上你看到的命令行里面，有个-p0795ea6f ...

那个解压信息一开始就是从process monitor拿到的
对web.dll的分析 是因为被di爆毒了

hsks

其实我喜欢扔进沙箱里看行为（
https://tria.ge/231101-ey79faac9x/behavioral2

还是老样子，主要白利用upupoo（

t0kenzero

hsks 发表于 2023-11-1 12:27
其实我喜欢扔进沙箱里看行为（
https://tria.ge/231101-ey79faac9x/behavioral2

我主要是因为cylance和elastic的两种不一样的报毒。被搞困惑了，所以才会去看一眼到底是什么东西

骨灰级小白

卡巴扫描miss，云信誉未知，实际也跑不起来