文件本身是个7z我就先解压出来了,所以hash不太一样 SHA256:9eb8a287abfea3a421a53aa0b10b8eebabb8989deb7b04c1020add2e14effde0 文件分析64位pe,看不出有什么特征
我们使用微步云沙箱可以检出大量恶意信息,以及流程框架,方便我们后续分析和研判
行为分析进程行为创建了一个tmp.exe的子文件进程然后什么都没有,感觉和微步的行为分析差距有点大(其实是因为后续存在反沙箱反虚拟机,微步可能绕过了这块) 文件行为只有一个文件释放,签名有效,判定为白文件,应该是做伪装用的
注册表行为无写入
网络行为未检出
详细分析go语言写的文件,我们先进入main_init中看看,初始化了很多系统的函数
然后我们进入main_main中看看主程序如何
提示符非常露骨啊,首先是获取了自身路径,然后解密、释放、执行白文件tmp.exe(todesk安装包),下面说的载荷就是这个白文件了
然后第二个载荷是我们需要特别关注的,再次之前,我们需要关注下以下这个函数,里面存在反沙箱、安全绕过、权限维持等操作,我们进入看看
这不是我改的名字,这个文件没有去掉符号。。
第一个AntiSandbox有非常多如下所示的反沙箱以及反虚拟机
内部反调试,遍历进程,识别退出
第二个bypassAmsi不必多说,常规
第三个权限维持,注册表实现,键值为Win-Update
第四个互斥运行
然后就是恶意文件的载入了
其载入的流程为解密数据生成pe文件,然后手动载入内存,跳转entrypoint并执行
这里就不放过程了哈,位置就在上面(主要是调试完了,没留下过程截图) 恶意载荷也是go语言编写的文件,main_init中还是和前面一个一样加载系统函数,我们主要看看main_main,一进函数就可以看到,潜伏,不知道为什么这个sleep这么长先不管了,之后显示窃取了todesk的账密,然后窃取了很多很多浏览器这类相关的隐私文件,关于网址,微步可以检出并识别画像
之后就是访问恶意网址下载shellcode,因为样本很新,所以可以直接下载下来
关于这个文件的后续就是文件载入并执行了,就不往下继续写了。
我们来看释放的文件 用hashdb恢复了一些符号,这在之前的样本中出现过,很经典
划下去一点,c2就出来了
微步同样检出
连接获取数据然后又下载了一个pe,解密并执行(到底什么时候能够停止这种套娃行为)
我们再来看看下载的文件(数不清第几个了),一个exe,附加里面有个shellcode,我们还是先来看看文件吧
行为分析一下,没有啥可执行文件落地了微步没有显示额外的东西了
分析了好久,实在是实力不够,提取以下c2
IOC107.148.51.124
前面的部分小弟已经分析完了,但是最后一个载荷实在是能力不足,不知道外连地址的代码在哪里,调试着调试着就跑飞了。。
样本为go语言编写,希望大佬能够帮助下小弟,感激不尽!!
| 
发表于 
楼主