利用log4shell传播的StealthLoader病毒分析后续

逆向病毒分析 2年前 (2021) admin
746 0 0


概述:

在上篇文章中我们对StealthLoader做了简单的分析,本文将简要分析StealthLoader加载的StealthBot的内容。

从上篇文章结尾处的load的位置dump出样本,发现此样本有混淆,有反调试,通过与”microsoft.com”尝试通信检测网络;并且获取系统信息,最终释放挖矿程序以及账户配置信息等,通过创建开机启动项等实现持久化。

行为分析:

去混淆后可以更清晰的看出程序的逻辑,获取程序执行的路径

利用log4shell传播的StealthLoader病毒分析后续

获取两次获取系统时间作差检测调试。

利用log4shell传播的StealthLoader病毒分析后续

创建子线程,休眠 2147367705ms后杀死当前主进程。

利用log4shell传播的StealthLoader病毒分析后续

尝试解析“microsoft.com”的ip,如果解析不成功则杀死进程。

利用log4shell传播的StealthLoader病毒分析后续

一些反调试的操作。

利用log4shell传播的StealthLoader病毒分析后续

通过子线程获取一些系统信息包括系统的bios版本,核心名等,在system32目录下写入文件并创建系统服务

利用log4shell传播的StealthLoader病毒分析后续

通过遍历进程列表找到进程中到的指定程序,然后通过发送代码直接到指定驱动程序,实际释放为gmer64.sys程序。

利用log4shell传播的StealthLoader病毒分析后续

创建互斥体,并创建两个子线程,一个是对进程中做检测,另一个是解密并释放挖矿程序与其配置文件。

利用log4shell传播的StealthLoader病毒分析后续
利用log4shell传播的StealthLoader病毒分析后续

Xmrig.exe,具体内容不做分析。

利用log4shell传播的StealthLoader病毒分析后续

dir.json — 为配置文件

利用log4shell传播的StealthLoader病毒分析后续

在注册表中修改开机启动项,实现持久化。

利用log4shell传播的StealthLoader病毒分析后续

解出powershell脚本并通过创建服务实现持久化

利用log4shell传播的StealthLoader病毒分析后续
利用log4shell传播的StealthLoader病毒分析后续

总结:

与常规挖矿套路是相似的,都是为了加载最后的挖矿程序以及配置文件,从而指定到账户。我们防护时需要把相应启动的服务全部杀死,并且将注册表中添加的启动项以及服务中的相应项删除,以免重启机器后自启;检查自己的c:windowstemp 以及C:windowssystm32目录下是否有特殊/异常文件,

Ioc:

ec07adfcdf6e3e4a1e84191eb1cf6a91 StealthLoader.exe a822b9e6eedf69211013e192967bf523 gmer64.sys b179749d5bf92bfe3af4cb0c08916ff5 xmrig.exe 9844b2f687e8628c9514ebb67096397a StealthBot.exe hxxp://2.56.59[.]64/setup.exe pool.supportxmr[.]com:443 monerohash[.]com:9999 User address: 4AeriA3wiocD9gUjiw7qptRDfECriZJac8CgGbfUUPUmMSYtLE43dr2XXDN6t5vd1GWMeGjNFSDh5NUPKBKU3bBz8uatDoC

end


招新小广告

ChaMd5 Venom 招收大佬入圈

新成立组IOT+工控+样本分析+AI 长期招新

欢迎联系[email protected]



利用log4shell传播的StealthLoader病毒分析后续

原文始发于微信公众号(ChaMd5安全团队):利用log4shell传播的StealthLoader病毒分析后续

版权声明:admin 发表于 2021年12月22日 上午12:00。
转载请注明:利用log4shell传播的StealthLoader病毒分析后续 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...