本帖最后由 aaa4dr 于 2025-3-25 20:40 编辑
银狐1x_病毒样本 分享&分析区_安全区 卡饭论坛 - 互助分享 - 大气谦和!
初步研判SHA256:70826f24a6f857dd220e637884465b961b252c1374ccaa757a97f587ccf36144 我们在沙箱中可以看到一些针对样本的特征 行为分析进程行为文件调用自身然后创建powershell 内容如下,做了一个绕过windefender的操作 "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" Add-MpPreference -ExclusionPath 'C:\','C:\ProgramData','C:\Users','C:\Program Files (x86)' -Force文件行为可以看到释放了很多可执行文件,位于文档处,初步判断为白加黑程序,其中黑程序由VMP保护,本文对此文件仅做行为分析。 注册表行为创建了三个计划任务,对应不同的文件
网络行为我们可以看到一些外连的ip,不过都是国内的,可能并非是目标c2 详细分析文件比较多,在行为分析中提到了三个计划任务,其中有一个白加黑,黑文件为vmp,还有一个单文件vmp,这两个文件虽然非常可疑,但对于我们整体分析而言并不关键,因为在主程序运行中就会识别到c2. 我们这里主要分析非vmp保护的程序,一个为主程序,还有一个是释放文件 主程序文件混淆地比较严重,不过经过较短的单步跟踪还是可以找到核心位置 我们进入decode函数,内部有一些关于数据解密的操作,不过并不关键,我们只需要在下方callshell的函数处捕获shellcode就可以了 可以看到如果创建内存成功就写入数据call 我们直接动调把shellcode取出来然后行为分析下,发现可疑外连,后续多次分析,每次访问的ip都不一样 20.42.73.29
52.182.143.212
172.64.149.23
52.18.117.173
...我们还是详细分析看看,首先进行了一段自解密,对后续代码解密,如下图所示,中间还有loop,应该还会有解密操作 我们使用条件断点运行完loop,再把文件段dump出来,这时再次进入后就可以看到有效代码了 代码首先给自己提权 然后用了两个不同的函数睡眠 数据填充 然后使用key对下一段shellcode进行解密,然后执行 取出后进行下一段shellcode的分析 这段shellcode主逻辑下 首先创建互斥体,确定独立运行,然后sleep一段时间,然后带参plp重新执行自身程序,后续遍历进程如果360进程运行,则循环关闭 关闭360远程连接 然后进入核心代码,首先时获取rot加密值,进行拼接 其中有一段通过在文件中查找*/&字符然后后去后70位字符不过因为00截断,所以真正的字符并没有这么多 然后就是还原网址 之后直接访问就可疑获取到附件,之后对数据进行解密,我们只要还原算法就可以得到解密数据 获取文件后对数据进行解密然后释放到行为分析中的位置 在核心程序之后对生成文件的目录都屏蔽windefender,以及判断可疑进程 然后解密了一个s.jpg的文件,然后执行了,我们取出shellcode再看看 后续在shellcode中解出了一个pe,内部主要是创建管道根据参数创建计划任务。 在核心函数之后就是取消windefender对释放目录的监控 主程序的逻辑基本就到这里了
子程序我们以其中一个非vmp打包的释放程序为例,也是所有释放文件中有明显外连的进程 程序有UPX的段,不过不是UPX,是一个自解密程序 运行此程序时还需要带参 初步行为分析,发现内部使用了互斥体,且子程序会调用主程序释放的部分文件,如果没有主程序,直接执行子程序则只能访问本地 程序在UPX1段解密数据到UPX0段 不过生成的代码混淆的也很严重,这里就对调用方法进行分析,如图所示使用使用WSAsocket套接字进行网络连接 首先是检索系统启动值,如果是故障安全启动就不进行网络连接 如果sw2_32无法连接则使用mswsock库,然后连接IOC 总结一下,主程序的逻辑基本分析完成,两个vmp加壳的程序仅进行行为分析,无外连行为,对网络连接子程序进行部分分析,判断c2调用方式 IOC38.46.14.118
| 
发表于 2025-3-25 18:01:34
