這篇文章將為大家詳細(xì)講解有關(guān)CS偽裝下的loader樣本該怎么分析�����,文章內(nèi)容質(zhì)量較高�����,因此小編分享給大家做個(gè)參考���,希望大家閱讀完這篇文章后對相關(guān)知識有一定的了解����。
10年積累的成都網(wǎng)站制作����、成都做網(wǎng)站經(jīng)驗(yàn)���,可以快速應(yīng)對客戶對網(wǎng)站的新想法和需求���。提供各種問題對應(yīng)的解決方案。讓選擇我們的客戶得到更好����、更有力的網(wǎng)絡(luò)服務(wù)。我雖然不認(rèn)識你��,你也不認(rèn)識我。但先網(wǎng)站制作后付款的網(wǎng)站建設(shè)流程�����,更有澤庫免費(fèi)網(wǎng)站建設(shè)讓你可以放心的選擇與我們合作�����。
0x01 開源情報(bào)收集
樣本下載鏈接:https://app.any.run/tasks/ffc1ecff-e461-4474-8352-551db7e7b06f/
常用平臺:VT���,微步���,哈勃 app.any.run, joesandbox
圖一:VT檢測
木馬實(shí)錘
沙箱跑一下看一下行為:
圖二:沙箱行為分析
可以看到用GET請求訪問C&C服務(wù)器下載了一個(gè)二進(jìn)制binary文件。
點(diǎn)開binary文件查看詳情:
圖三:惡意binary
dump下來wireshark數(shù)據(jù)包����,過濾http請求同樣可以發(fā)現(xiàn)該二進(jìn)制文件
圖四:抓包分析
查詢C&C服務(wù)器ip:
圖五:ip檢測
現(xiàn)在對該惡意軟件已經(jīng)有了初步了了解,下面進(jìn)行數(shù)據(jù)包分析��,看看能不能找到有用的信息�。最直觀的看到就是使用了非常見的端口連接,還有發(fā)現(xiàn)一個(gè)有趣的現(xiàn)象:
圖六:數(shù)據(jù)包分析
竟然是肉雞主動連接的C&C服務(wù)器�,讓我聯(lián)想到了CS馬。這種手法類似于反彈shell�,好處就是可以繞過防火墻限制����,如果對方是內(nèi)網(wǎng)ip�,你無法直接發(fā)起連接請求,方便持久化控制等等���。
0x02 樣本基本信息
用exeinfo查殼��,標(biāo)準(zhǔn)的32位VC編譯的程序
圖七:樣本信息
用Process Monitor監(jiān)控行為
圖八:軟件行為
具體每一項(xiàng)的圖略了��,大概看了一下讀取了注冊表的某些鍵值�����,設(shè)置了某些鍵值對的值,很多對IE瀏覽器的設(shè)置���,代理�����,Cache等等����。用createfile()函數(shù)讀取了本地一些文件,但是沒有在磁盤創(chuàng)建文件的行為�����,也沒有刪除文件的行為�����。網(wǎng)絡(luò)行為監(jiān)控可以看到send,receive動作����,應(yīng)該是從C&C服務(wù)器接收了下一階段的惡意負(fù)載。重點(diǎn)看了一下注冊表里面沒有找到用于持久性控制的鍵值修改���。
0x03 binary分析
IDA靜態(tài)分析
原則:先靜后動
載入IDA看一下導(dǎo)入表,看到了很多標(biāo)志性的API
反調(diào)試:
查詢用戶默認(rèn)區(qū)域���,呦呵,還是有針對性的呀
反調(diào)試:
分配內(nèi)存����,因?yàn)閻阂鈽颖緯腃&C接受binary文件,但是沒有寫入磁盤�����,猜測就是用來這個(gè)API開辟了一段內(nèi)存空間,在內(nèi)存中執(zhí)行payload�。
但是有一點(diǎn)很疑惑,沒有看到與網(wǎng)絡(luò)操作有關(guān)的API函數(shù)和庫��。
看靜態(tài)字符串
靜態(tài)分析程序流程
就兩個(gè)函數(shù)��,我重點(diǎn)分析了第二個(gè)函數(shù)sub_453960(),因?yàn)榈谝粋€(gè)函數(shù)點(diǎn)進(jìn)去看沒有什么實(shí)質(zhì)性的操作�����,在初始化處理��,創(chuàng)建互斥體等等����。
我采取的辦法是直接對照著IDA,在OD中把第二個(gè)函數(shù)完整的執(zhí)行了一遍��,花費(fèi)了大概三個(gè)半小時(shí)��,這估計(jì)是最笨的方法了吧����。但是至少搞清楚了程序流程。關(guān)鍵函數(shù)是sub_4534B0()���,在它來到關(guān)鍵函數(shù)之前���,惡意軟件還設(shè)置了某幾個(gè)文件夾的屬性,如C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Cookies�,難道要竊取cookie?
調(diào)試后定位到關(guān)鍵函數(shù)�,其實(shí)這個(gè)應(yīng)該就是主函數(shù),ida沒有識別出來:
程序用VirtualAlloc()開辟了一段內(nèi)存�����,&unk_515000里面存的是程序硬編碼的payload���,sub_44F3DC()的作用相當(dāng)于strcpy()�����,將payload復(fù)制到v1����,然后把v1當(dāng)函數(shù)執(zhí)行���。其實(shí)payload就是一段機(jī)器碼��。從00515000—0051531F����,更有意思的是在payload尾部發(fā)現(xiàn)了C&C服務(wù)器的ip地址。而且之后調(diào)試發(fā)現(xiàn)�,整個(gè)程序都是使用的這種手法來執(zhí)行自己的payload。
payload分析:
OD動態(tài)分析
第一步:關(guān)閉樣本的aslr��,方便進(jìn)行分析和調(diào)試�����。
載入peview
偏移是15E�����,放入hex編輯器��,我看很多大佬都用010editor
修改完成后�����,載入OD即可
反調(diào)試是用hideod過的��,手工也可以�,直接修改PEB塊中的值。
直接從關(guān)鍵函數(shù)處開始展示:
因?yàn)槭?2位系統(tǒng)����,默認(rèn)是eax寄存器存放函數(shù)返回值,調(diào)用完VirtualAlloc()后返回值存放的是分配內(nèi)存的首地址���,0002000����,也就是說payload會被復(fù)制到這里�����,并執(zhí)行���。
并且該內(nèi)存頁屬性����,RWE���,符合條件�。
數(shù)據(jù)窗口跟隨,在執(zhí)行完sub_44F3DC()后payload被復(fù)制于此�。
程序開始執(zhí)行payload,經(jīng)過對payload的調(diào)試�,作用是通過loadlibrary()函數(shù)加載wininet庫,這也解釋了為什么在導(dǎo)入表里面沒有找到與網(wǎng)絡(luò)操作相關(guān)的API函數(shù)信息�。找到所需API函數(shù)地址后,開始與C&C服務(wù)器通信��。
我們直接對00020068和0020086處下斷點(diǎn)即可�。調(diào)試的時(shí)候可以很明顯的感覺到有時(shí)鐘機(jī)制在阻礙動態(tài)分析,直接在關(guān)鍵點(diǎn)下段���,繞過即可����。
00020068處是進(jìn)行網(wǎng)絡(luò)通信時(shí)用到的API函數(shù)的ASCII碼
00020086處用了一條jmp eax指令來執(zhí)行API函數(shù)
因?yàn)橹巴ㄟ^沙箱分析和流量分析知道�����,第一個(gè)樣本會連接C&C服務(wù)器下載第二段payload���,大體思路就是通過VirtualAlloc()函數(shù)分配一塊內(nèi)存��,然后通過InternetReadFile()指令讀取payload到內(nèi)存��。
查了一下VirtualAlloc()傳參次序:
LPVOID VirtualAlloc{
LPVOID lpAddress, // 要分配的內(nèi)存區(qū)域的地址
DWORD dwSize, // 分配的大小
DWORD flAllocationType, // 分配的類型
DWORD flProtect // 該內(nèi)存的初始保護(hù)屬性
};
從右向左進(jìn)行傳參����,網(wǎng)上查了一下�����,當(dāng)Address參數(shù)為null時(shí)���,系統(tǒng)將會決定分配內(nèi)存區(qū)域的位置����,并且按64-KB向上取整(roundup)��。
這個(gè)位置是隨機(jī)的�,之后會調(diào)用InternetReadFile(),將第二段負(fù)載讀到此處��。
此處下一個(gè)硬件執(zhí)行斷點(diǎn)
第二段payload已經(jīng)被讀入
程序開始執(zhí)行第二段payload
循環(huán)解密payload
解密出來就是一個(gè)PE文件
把PE文件dump出來
查殼
一個(gè)dll文件
VT分析
之前分析復(fù)現(xiàn)過APT28的一個(gè)樣本��,手法和這個(gè)程序差不多�,最終也會釋放一個(gè)惡意的dll。Dll文件有的是用rundll32執(zhí)行��,有的是直接在內(nèi)存里加載dll,執(zhí)行里面函數(shù)�,這樣dll就不用落地了,就算exe程序被捕獲了�����,dll核心功能也不會被獲取到��。本例中是直接在內(nèi)存中進(jìn)行執(zhí)行�。
說一下要點(diǎn):因?yàn)橹坝蠧TF經(jīng)驗(yàn),在靜態(tài)分析時(shí)快速識別出來base64算法和AES算法�����。
Base64碼表:
Base64算法實(shí)現(xiàn):
‘=’補(bǔ)齊:
發(fā)現(xiàn)了用于AES加密的S盒:
標(biāo)準(zhǔn)的HttpSendRequestA系列API進(jìn)行網(wǎng)絡(luò)請求:
動態(tài)調(diào)試時(shí)�����,發(fā)現(xiàn)了url����。
通過分析數(shù)據(jù)包,原本以為像普通馬一樣�,收集本機(jī)敏感信息,壓縮上傳至C&C服務(wù)器,結(jié)果這個(gè)馬更加狡猾�����。這個(gè)惡意的dll相當(dāng)于還是一個(gè)downloader���,它通過去連接這個(gè)url,類似于心跳包檢測的機(jī)制�,根據(jù)頁面回顯或提前設(shè)置好的標(biāo)志位,來決定執(zhí)行的操作����。是執(zhí)行惡意功能還是sleep。執(zhí)行惡意功能應(yīng)該就是去下載真正的惡意負(fù)載����。
0x04攻擊流程
這個(gè)樣本的適用場景應(yīng)該是APT組織攻擊或紅隊(duì)攻擊中,通過滲透測試成功向目標(biāo)上傳了CS馬�����,但是由于CS的易檢測的特制����,不適于現(xiàn)代實(shí)現(xiàn)持久化控制的目的。所以在cs馬中硬編碼了一段payload��,與C&C服務(wù)器進(jìn)行通信下載了一個(gè)binary。通過xor操作達(dá)到免殺的目的��,這個(gè)binary的作用相當(dāng)于一個(gè)downloader�,用于下載下一階段的惡意負(fù)載。通過對請求的url的判斷���,提高了自己的隱蔽性���,在合適的時(shí)機(jī)被攻擊者喚醒。樣本還有一個(gè)亮點(diǎn)是全程沒有落地����,通過VirtualAlloc()分配內(nèi)存,將payload復(fù)制進(jìn)內(nèi)存進(jìn)行執(zhí)行�,給我逆向分析的過程中帶來了不少的麻煩。樣本檢測通過社區(qū)的yara規(guī)則即可檢測為惡意樣本�。
0x05 IOC
Main object :“3F37FC95AA5C8F7C304AA0DFC3FFBF2E”
SHA256: F6E04B3710044F76666468559FD2B6688CCAC091284D138E461C2257C387D7D3
SHA1: 4BB7B4AE2CC8C5D6C8EF1704A9B027878190D028
MD5: 3F37FC95AA5C8F7C304AA0DFC3FFBF2E
Connections
IP 8.210.181.149
HTTP/HTTPS requests
URL http://8.210.181.149:16678/activity
URL http://8.210.181.149:16678/9jhQ
0x06 關(guān)聯(lián)分析
關(guān)聯(lián)分析用的是奇安信的平臺
關(guān)于CS偽裝下的loader樣本該怎么分析就分享到這里了,希望以上內(nèi)容可以對大家有一定的幫助�����,可以學(xué)到更多知識�����。如果覺得文章不錯(cuò),可以把它分享出去讓更多的人看到�。
網(wǎng)頁標(biāo)題:CS偽裝下的loader樣本該怎么分析
本文URL:
http://weahome.cn/article/gjcjog.html
重慶分公司
重慶分公司
