流行的木马很多,比如现在开始出现了VHD格式恶意文件,本文提及的属于ISO格式恶意文件,相当于多了一层“保护层”。在逆向的学习与实践中确实没有那么简单,目前看以前记录的一些文章提及的心得内容是真的,大部分情况下会遇到混淆以及各种对抗手法来阻碍被分析或者被发现,和单纯地逆向分析二进制漏洞存在一定不同。不过事物总是相对的,总得以需要完成的目标来进行分析,例如我们只需获取外连的C2地址(本地动态分析,遇到阻碍才人工介入),或者只是逆向分析特定的对抗技术、还原减少混淆的代码以及还原特定加密算法等,因此不需要100%对整个恶意文件进行逆向,除非是特别有价值的恶意文件,才值得投入大量时间。
对抗是肯定的,也需要考虑到时间成本,这是之前阅读过的一篇文章,里面的这段话很有启发,很多道理都需要经过时间与实践才能明白为何正确。
样本来源于推特@malwrhunterteam,相关链接:https://twitter.com/malwrhunterteam/status/1599832278577709056。
文件名为CopyrightInfringementDec2022.zip,解压后为CopyrightInfringementDec2022.iso,文件体积比较大,大于70MB,大文件对于杀软来说因为设定扫描阈值的原因可能会被放过。一般来说是通过电子邮件投递的方式传播,因此邮件安全中后缀名检测会导致黑客不会直接使用可执行程序,一般都喜欢压缩包格式,因此使用ISO文件也方便了黑客绕过Mark-of-the-Web控制,导致恶意软件在没有警告用户的情况下执行。
mcbuilder.exe与mrmcoreR.dll结合利用白加黑手法,同时也发现mrmcoreR.dll文件大小超过70MB。
附带的pdf文件内容,主要主题是侵权问题,没有特别的行业或人群针对性。
翻译比对如下
本地测试后发现主要针对的环境是Win8以上,Win7环境运行失败,在没有勾选显示隐藏文件选项的情况下,只会出现一个伪装成pdf文件的快捷方式文件,东亚的一些黑客组织也很喜欢利用LNK文件恶意手法。
用户双击快捷方式便会执行恶意命令,从快捷方式里提取下恶意命令:%windir%/system32/cmd.exe /c start /b CMPCopyrightNotice.pdf & start /min cmd /c mcbuilder.exe。核心payload为mrmcireR.dll,文件大小超过70MB,采用golang编写,字符串采用了部分混淆,使用这种语言编写的应用程序体积较大,在调试器下看起来与使用其他语言(如C / C ++)编译的应用程序有很大不同。本地测试发现属于测试样本,会显示调试信息,经过分析确实如调试信息所列出的功能,异常行为太明显不符合隐蔽性。
执行后出现的进程树如下:
利用多线程和计时器对象(CreateWaitableTimerExW)来实现特定功能,利用VEH(RtlAddVectoredExceptionHandler)、VCH(RtlAddVectoredContinueHandler)方式来实现特定功能阻碍动态分析。
通过读取本地的ntdll文件的text节区数据后重新写入来替换被杀软等hook后的ntdll进程数据来恢复原始的ntdll进程,调用函数“EtwNotificationRegister”、“EtwEventRegister”、“EtwEventWriteFull”、“EtwEventWrite”利用ETW注册项绕过ETW,其余的功能与sliver项目类似。
在内存中分配空间并加载新的PE文件执行,加载的PE文件存在反调试。提取进程中内嵌的PE文件至本地直接被Windows Defender报毒了,特征过于明显。
对第二阶段的恶意文件进行分析,文件大小达到17.8MB,同样也是golang编写的恶意文件,关联到属于sliver木马,这是一个比较流行的红队攻击模拟框架。
分析过程比较复杂,找到一个巧妙的方式获取到C2,采用https通信。如果是获取C2地址的话到这里就结束了,C2地址为kmatv.com。
因为是属于隐藏性不高的恶意文件,比较倾向于是在做测试,因此可能在野还有其余的恶意文件存在,找到的第二个恶意文件如下,文件名为TrademarkViolation2022.zip,解压后为TrademarkViolation2022.iso,其他流程与第一个文件类似,最终阶段的恶意文件也属于sliver木马,C2地址为batrn.com。
IOC
c644de507cffd0174d2a6376b9dca8fe(kmatv.com)
01955c004d30f6590393631796c82977(batrn.com)
参考链接
https://twitter.com/malwrhunterteam/status/1599832278577709056
windows异常处理_CodeStarr的博客
https://blog.csdn.net/Ga4ra/article/details/102667829
原文始发于微信公众号(OnionSec):流行木马ISO恶意文件简单分析
