查看: 3346|回复: 15
收起左侧

[原创分析] 银狐(WinOS 4.0)MSI执行流程

  [复制链接]
ANY.LNK
发表于 2024-10-12 19:58:29 | 显示全部楼层 |阅读模式
本帖最后由 ANY.LNK 于 2024-10-13 01:17 编辑

银狐存在多个变种,本篇仅分析以“软件包安装.msi”为名的这批。

此样本已经出现过百个同类变种(@wwwab 提供),其结构和执行行为大同小异,选取典型代表之一(SHA256:AE384265AFDD4AEDC1A4AC51D5F0B14D56185CB06B14396F97B119DD390675EA、3CD74F2E7EA8EF36C4FB0ED096A433F9D6E4657DD68CEFCAD21D35617232FABE)进行分析


此类样本的MSI结构大体如下,关键载荷均使用7-Zip打包加密,增加了提取特征的难度,对于某些安全软件,可以直接让上报自动机拒绝处理





样本启动并通过UAC后,会逐步解密文件。

首先,将加密的文件释放到\Program Files (x86)\Windows NT目录下,并将文件设为系统隐藏属性

最先解压出的文件是tProtect.dll,这实际上是一个包含漏洞的可利用驱动(参见https://github.com/BlackSnufkin/BYOVD/tree/main/TfSysMon-Killer的POC),通过cmd将其注册为服务并启动

  1. cmd /c start sc create CleverSoar displayname= CleverSoar binPath= "C:\Program Files (x86)\Windows NT\tProtect.dll" type= kernel start= auto
复制代码


启动后,将不断搜寻杀毒软件进程并结束



随后注册并隐藏(参见:https://cloud.tencent.cn/developer/article/2377196,Windows使用注册表识别计划任务,而非XML)计划任务,用于后续的载荷解密和更新

  1. cmd /c start schtasks /create /tn "Corp" /xml C:\Users\MICROS~1\AppData\Local\Temp\3EB7.tmp
复制代码
  1. cmd /c start reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Corp" /v Index /t REG_DWORD /d 0 /f
复制代码











原始XML配置如下
  1. <?xml version="1.0" encoding="UTF-16"?>
  2. <Task version="1.6" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
  3.   <RegistrationInfo>
  4.     <Date>2005-10-11T13:21:17-08:00</Date>
  5.     <Author>Microsoft Corporation</Author>
  6.     <Version>1.0.0</Version>
  7.     <Description>Microsoft</Description>
  8.     <URI>\Corp</URI>
  9.   </RegistrationInfo>
  10.   <Triggers>
  11.     <LogonTrigger>
  12.       <Enabled>true</Enabled>
  13.       <UserId>Microsoft Defender</UserId>
  14.     </LogonTrigger>
  15.   </Triggers>
  16.   <Principals>
  17.     <Principal id="System">
  18.       <UserId>Microsoft Defender</UserId>
  19.       <RunLevel>HighestAvailable</RunLevel>
  20.       <LogonType>InteractiveToken</LogonType>
  21.     </Principal>
  22.   </Principals>
  23.   <Settings>
  24.     <MultipleInstancesPolicy>Parallel</MultipleInstancesPolicy>
  25.     <DisallowStartIfOnBatteries>false</DisallowStartIfOnBatteries>
  26.     <StopIfGoingOnBatteries>false</StopIfGoingOnBatteries>
  27.     <AllowHardTerminate>false</AllowHardTerminate>
  28.     <StartWhenAvailable>true</StartWhenAvailable>
  29.     <RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
  30.     <IdleSettings>
  31.       <StopOnIdleEnd>true</StopOnIdleEnd>
  32.       <RestartOnIdle>false</RestartOnIdle>
  33.     </IdleSettings>
  34.     <AllowStartOnDemand>true</AllowStartOnDemand>
  35.     <Enabled>true</Enabled>
  36.     <Hidden>false</Hidden>
  37.     <RunOnlyIfIdle>false</RunOnlyIfIdle>
  38.     <DisallowStartOnRemoteAppSession>false</DisallowStartOnRemoteAppSession>
  39.     <UseUnifiedSchedulingEngine>true</UseUnifiedSchedulingEngine>
  40.     <WakeToRun>false</WakeToRun>
  41.     <ExecutionTimeLimit>PT0S</ExecutionTimeLimit>
  42.     <Priority>7</Priority>
  43.     <RestartOnFailure>
  44.       <Interval>PT1M</Interval>
  45.       <Count>3</Count>
  46.     </RestartOnFailure>
  47.   </Settings>
  48.   <Actions Context="System">
  49.     <Exec>
  50.       <Command>regsvr32.exe</Command>
  51.       <Arguments>"C:\Program Files (x86)\Windows NT\Update.png"</Arguments>
  52.     </Exec>
  53.   </Actions>
  54. </Task>
复制代码

修改系统安全UAC配置,减少提示



注册的计划任务通过RegSvr32.exe加载解密出的Update.png,实际为DLL文件,被劫持的RegSvr32.exe会检查更新下载加密的文件(若没有,解密本地文件),稍后会启动cmd.exe调用7-Zip命令行用密码idyfiaseydv9281eyd2逐个解密文件,释放出最终载荷









除上述外,还有一个已签名的hotdog.exe和curl.dll,不过目前我未捕获到运行实例

winnt.exe通过TCP连接C2:47.242.184.38;runtime.exe通过UDP连接C2:111.180.189.230(目前推断同属于在前段时间攻击论坛的人)

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 7经验 +100 魅力 +2 人气 +20 收起 理由
877906025Z + 2 感谢解答: )
断簪 + 3 版区有你更精彩: )
zhuzhu009 + 3 精品文章
ft-cai + 3 白加黑
QVM360 + 1 版区有你更精彩: )

查看全部评分

ANY.LNK
 楼主| 发表于 2024-10-27 02:40:22 | 显示全部楼层
本帖最后由 ANY.LNK 于 2024-10-27 02:46 编辑

更新:hotdog.exe,curl.dll功能明晰

hotdog.exe用于Patch AMSI ETW等安全措施

curl.dll为Rootkit,用于保护与持久化(实际测试保护能力不强)



额外发现,在https://bbs.kafan.cn/thread-2275314-1-1.html中的样本中,最终payload也使用了计划任务进行持久化

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
OrangeCell
发表于 2024-10-12 20:02:55 | 显示全部楼层
很高质量
莒县小哥
发表于 2024-10-12 20:04:30 | 显示全部楼层
支持支持
ft-cai
发表于 2024-10-12 21:27:08 | 显示全部楼层
TX 立大功
zhuzhu009
发表于 2024-10-12 21:31:44 | 显示全部楼层
点赞
superLYT
发表于 2024-10-13 01:23:37 | 显示全部楼层
支持
0殺神在心0
发表于 2024-10-13 10:10:51 来自手机 | 显示全部楼层
都用winos4.0了 攻击手法也不会高到哪里去 无非就是加驱结束杀软 然后无脑持久化
Raven95676
发表于 2024-10-13 14:26:58 | 显示全部楼层
高质量,支持
Luna_ovo
发表于 2024-10-13 22:30:37 | 显示全部楼层
本帖最后由 Luna_ovo 于 2024-10-13 22:32 编辑

没事了,我看成分析工具了...
这个执行的cmd命令和带负荷的7zip命令是怎么查看的?


ANY.LNK
 楼主| 发表于 2024-10-13 22:36:29 | 显示全部楼层
0殺神在心0 发表于 2024-10-13 10:10
都用winos4.0了 攻击手法也不会高到哪里去 无非就是加驱结束杀软 然后无脑持久化

确实如此

不过这个样本吸引我的原因是所有测试的的沙箱都只抓到了msiexec.exe的行为就没有后续了,而不像其他的MSI(诸如FakeApp等)那样能抓到启动7-Zip或其他解压缩的的进程(
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-21 23:56 , Processed in 0.127339 second(s), 21 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表