CTF导航 CTF导航

【远控木马】银狐组织最新木马样本-分析

逆向病毒分析 1周前 admin
43 0 0 



样本信息

文件名: 2023财会人员薪资补贴调整新政策所需材料.exe
MD5: 20fbd9ac1097d4da587f0e353bbecb80
SHA256: d7bc758160ca6ddaa7ac16ff2a1c48a8481ed0cde96baa9d9fe6608b34f076c6

样本主要行为:


 从指定链接http://27,124,40,155:8000/j-1 下载文件并执行;该文件从指定的URL处下载多个载荷文件并执行;
【远控木马】银狐组织最新木马样本-分析





j-1 分析:


文件信息:


MD5:87c42dee312435c37b095e9a81c9a92a
SHA-1:89e1ac9649ab6439d1e8804b6824a3ec5664bda7
SHA-256:bf3235239dc43b72dc1a0496f507f1ba8545d0fc4c7651d2d55107e8ec76c7ec

样本主要行为:


从指定的URL处下载多个载荷文件并执行;


详细分析:


程序运行后会检测360程序,有360程序则会弹框,并退出程序执行。

【远控木马】银狐组织最新木马样本-分析


弹框内容如下


【远控木马】银狐组织最新木马样本-分析


下载文件


从指定的url处分别下载一个exe,一个.dat,和edge.jpg,edge.xml;其中exe和.dat使用同一个随机名称;所有文件保存到Users用户AppDataRoaming目录下。

【远控木马】银狐组织最新木马样本-分析


最终的下载链接如下:

【远控木马】银狐组织最新木马样本-分析

下载完成后,执行随机名称的exe。




随机名称exe分析

随机名称的exe实际为tu_rt.exe; 此程序为白文件实际是NetSarang系列工具更新程序;但已被病毒利用,加载同一目录下的的同名.dat文件。

.dat是被zip格式加密压缩的文件;逆向tu_rt.exe能看到密码。

【远控木马】银狐组织最新木马样本-分析

这里直接使用7z对.dat解压得到:

【远控木马】银狐组织最新木马样本-分析

其中_TUProj.dat开头插入了病毒脚本:

【远控木马】银狐组织最新木马样本-分析

被解压出的shellcode启动后会读取并修复当前目录下的.xml文件的前4个字节,而修复后的内容实际上是一个PE结构的可执行程序。

【远控木马】银狐组织最新木马样本-分析

修复后的PE可执行程序运行后,会向系统中添加计划任务用以定期启动自动执行。同时,程序还会解密同目录下的.png及.jpg文件,这次解压出的程序为真正的远控程序。

持续驻留


木马会添加一个伪装为Onedrive、Microsoft Edge等名称的计划任务:

【远控木马】银狐组织最新木马样本-分析
【远控木马】银狐组织最新木马样本-分析


对jpg的解密


【远控木马】银狐组织最新木马样本-分析
sub_100019A0即为解密函数;可以用c++调用shellcode快速解密;
sub_10002630为查找调用dll的Edge;
解密后的jpg文件中会包含一个dll文件。

DLL文件分析


实际文件为远控木马,远控功能如下:

设置隐藏文件


【远控木马】银狐组织最新木马样本-分析


反分析检测


【远控木马】银狐组织最新木马样本-分析


下载文件并释放到指定目录,并设置隐藏


【远控木马】银狐组织最新木马样本-分析


监控按键


【远控木马】银狐组织最新木马样本-分析


设置持久化


【远控木马】银狐组织最新木马样本-分析


添加服务


【远控木马】银狐组织最新木马样本-分析


更新C2后门地址


【远控木马】银狐组织最新木马样本-分析


获取QQ号


【远控木马】银狐组织最新木马样本-分析


其他功能


此外,该木马具有常见远控的所有功能,如:截图,收集系统信息等其他。

【远控木马】银狐组织最新木马样本-分析



【远控木马】银狐组织最新木马样本-分析


看雪ID:安全裤

https://bbs.kanxue.com/user-home-595341.htm

*本文为看雪论坛优秀文章,由 安全裤 原创,转载请注明来自看雪社区

【远控木马】银狐组织最新木马样本-分析

# 往期推荐

1、IOFILE exploit入门

2、入门编译原理之前端体验

3、如何用纯猜的方式逆向喜马拉雅xm文件加密(wasm部分)

4、反恶意软件扫描接口(AMSI)如何帮助您防御恶意软件

5、sRDI — Shellcode反射式DLL注入技术

6、对APP的检测以及参数计算分析


【远控木马】银狐组织最新木马样本-分析


【远控木马】银狐组织最新木马样本-分析

球分享

【远控木马】银狐组织最新木马样本-分析

球点赞

【远控木马】银狐组织最新木马样本-分析

球在看

原文始发于微信公众号(看雪学苑):【远控木马】银狐组织最新木马样本-分析

版权声明:admin 发表于 2023年11月19日 下午6:00。
转载请注明:【远控木马】银狐组织最新木马样本-分析 | CTF导航

相关文章

AgentTesla - Full Loader Analysis - Resolving API Hashes Using Conditional Breakpoints
admin
301
攻击技术研判|用剪贴板特性在钓鱼文档中落地恶意文件
admin
749
【逆向系列】5-某一艺术sig加密逆向
admin
427
Maui 恶意软件分析
admin
568
A tale of Phobos - how we almost cracked a ransomware using CUDA:ReverseEngineering
admin
322
Malware development trick - part 37: Enumerate process modules via VirtualQueryEx. Simple C++ example.
admin
23

暂无评论

暂无评论...

相关文章

【勒索防护】巴以冲突背景下的网络安全威胁
0
间谍软件加解密通讯模块分析
0
Rhysida狮子大开口,大英图书馆确认被勒索
0
典型挖矿样本分析 | somescript.sh
0
Кібератака UAC-0050 з використанням Remcos RAT, замаскована під "запит СБУ" (CERT-UA#8026)
0
New "Agent Tesla" Variant: Unusual "ZPAQ" Archive Format Delivers Malware
0
A deep dive into Phobos ransomware, recently deployed by 8Base group
0
Mobile Malware Analysis Part 4 – Intro To IOS Malware Detection
0
LockBit 近期勒索大企业们的全部细节!被波音公开!
0
【勒索防护】Tellyouthepass利用国内知名视频监控厂商漏洞卷土重来
0