CTF导航 CTF导航

【远控木马】银狐组织最新木马样本-分析

逆向病毒分析 5个月前 admin
109 0 0 



样本信息

文件名: 2023财会人员薪资补贴调整新政策所需材料.exe
MD5: 20fbd9ac1097d4da587f0e353bbecb80
SHA256: d7bc758160ca6ddaa7ac16ff2a1c48a8481ed0cde96baa9d9fe6608b34f076c6

样本主要行为:


 从指定链接http://27,124,40,155:8000/j-1 下载文件并执行;该文件从指定的URL处下载多个载荷文件并执行;
【远控木马】银狐组织最新木马样本-分析





j-1 分析:


文件信息:


MD5:87c42dee312435c37b095e9a81c9a92a
SHA-1:89e1ac9649ab6439d1e8804b6824a3ec5664bda7
SHA-256:bf3235239dc43b72dc1a0496f507f1ba8545d0fc4c7651d2d55107e8ec76c7ec

样本主要行为:


从指定的URL处下载多个载荷文件并执行;


详细分析:


程序运行后会检测360程序,有360程序则会弹框,并退出程序执行。

【远控木马】银狐组织最新木马样本-分析


弹框内容如下


【远控木马】银狐组织最新木马样本-分析


下载文件


从指定的url处分别下载一个exe,一个.dat,和edge.jpg,edge.xml;其中exe和.dat使用同一个随机名称;所有文件保存到Users用户AppDataRoaming目录下。

【远控木马】银狐组织最新木马样本-分析


最终的下载链接如下:

【远控木马】银狐组织最新木马样本-分析

下载完成后,执行随机名称的exe。




随机名称exe分析

随机名称的exe实际为tu_rt.exe; 此程序为白文件实际是NetSarang系列工具更新程序;但已被病毒利用,加载同一目录下的的同名.dat文件。

.dat是被zip格式加密压缩的文件;逆向tu_rt.exe能看到密码。

【远控木马】银狐组织最新木马样本-分析

这里直接使用7z对.dat解压得到:

【远控木马】银狐组织最新木马样本-分析

其中_TUProj.dat开头插入了病毒脚本:

【远控木马】银狐组织最新木马样本-分析

被解压出的shellcode启动后会读取并修复当前目录下的.xml文件的前4个字节,而修复后的内容实际上是一个PE结构的可执行程序。

【远控木马】银狐组织最新木马样本-分析

修复后的PE可执行程序运行后,会向系统中添加计划任务用以定期启动自动执行。同时,程序还会解密同目录下的.png及.jpg文件,这次解压出的程序为真正的远控程序。

持续驻留


木马会添加一个伪装为Onedrive、Microsoft Edge等名称的计划任务:

【远控木马】银狐组织最新木马样本-分析
【远控木马】银狐组织最新木马样本-分析


对jpg的解密


【远控木马】银狐组织最新木马样本-分析
sub_100019A0即为解密函数;可以用c++调用shellcode快速解密;
sub_10002630为查找调用dll的Edge;
解密后的jpg文件中会包含一个dll文件。

DLL文件分析


实际文件为远控木马,远控功能如下:

设置隐藏文件


【远控木马】银狐组织最新木马样本-分析


反分析检测


【远控木马】银狐组织最新木马样本-分析


下载文件并释放到指定目录,并设置隐藏


【远控木马】银狐组织最新木马样本-分析


监控按键


【远控木马】银狐组织最新木马样本-分析


设置持久化


【远控木马】银狐组织最新木马样本-分析


添加服务


【远控木马】银狐组织最新木马样本-分析


更新C2后门地址


【远控木马】银狐组织最新木马样本-分析


获取QQ号


【远控木马】银狐组织最新木马样本-分析


其他功能


此外,该木马具有常见远控的所有功能,如:截图,收集系统信息等其他。

【远控木马】银狐组织最新木马样本-分析



【远控木马】银狐组织最新木马样本-分析


看雪ID:安全裤

https://bbs.kanxue.com/user-home-595341.htm

*本文为看雪论坛优秀文章,由 安全裤 原创,转载请注明来自看雪社区

【远控木马】银狐组织最新木马样本-分析

# 往期推荐

1、IOFILE exploit入门

2、入门编译原理之前端体验

3、如何用纯猜的方式逆向喜马拉雅xm文件加密(wasm部分)

4、反恶意软件扫描接口(AMSI)如何帮助您防御恶意软件

5、sRDI — Shellcode反射式DLL注入技术

6、对APP的检测以及参数计算分析


【远控木马】银狐组织最新木马样本-分析


【远控木马】银狐组织最新木马样本-分析

球分享

【远控木马】银狐组织最新木马样本-分析

球点赞

【远控木马】银狐组织最新木马样本-分析

球在看

原文始发于微信公众号(看雪学苑):【远控木马】银狐组织最新木马样本-分析

版权声明:admin 发表于 2023年11月19日 下午6:00。
转载请注明:【远控木马】银狐组织最新木马样本-分析 | CTF导航

相关文章

网络空间测绘C2 BazarLoader 的发现与研究
admin
756
俄罗斯情报机构对乌克兰战场管理系统开展黑客攻击内幕
admin
161
Diicot挖矿组织近期攻击活动分析
admin
213
【恶意文件】Gozilla插件投毒分析
admin
125
使用图片隐写的Python远控恶意样本分析
admin
924
从一例 Pegasus 误报说开去
admin
616

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...

相关文章

GuptiMiner: Hijacking Antivirus Updates for Distributing Backdoors and Casual Mining
0
Sifting through the spines: identifying (potential) Cactus ransomware victims
0
二次注入简单介绍
0
[系统安全] 五十八.恶意软件分析 (10)利用火绒安全实现恶意样本家族批量标注(含学术探讨)
0
CIA组织MikroTik软路由攻击场景复现及后门加解密剖析
0
竟敢冒充国家级黑客组织!亚信安全还原攻击事件真实面貌
0
VM逆向,一篇就够了
0
Palo Alto XDR被改造成超级恶意软件
0
【工具分享】Amnesia勒索病毒解密工具
0
EDR的梦魇:Storm-0978使用新型内核注入技术“Step Bear”
0