• 西安市:构建“五方联动”社会治理新格局 2019-06-23
  • IP定向--云南频道--人民网 2019-06-23
  • 育儿十大坎 新手妈妈快快get起来 2019-06-21
  • 吉林:让更多农村孩子参加少年宫活动 2019-06-21
  • 美国发起贸易战,我们要让世界知道美元、美债并不可靠 2019-06-05
  • 紫光阁中共中央国家机关工作委员会 2019-05-31
  • 监察体制改革后 湘西半年72名公职人员主动交代问题 2019-05-12
  • 媒体宣传报道重庆日报 王国平:扮靓重庆两江四岸” 让城市有机更新 2019-04-26
  • 我相信“交警雨中护送高考生”是真,“交警雨中护送高考生”反被该高考生家长投诉是假。 2019-04-16
  • 14名消防员日巡逻28公里 洗冷水澡 2019-04-10
  • 靶壕有了“蓝军”,百发百中的“神枪手”练起来 2019-04-10
  • 不是秀强大了,别人就会来做朋友,这逻辑不对 2019-04-01
  • 候选企业:中国石油呼和浩特石化公司 2019-03-26
  • 航天员沙漠野外生存训练完美收官!为第一天团打call 2019-03-25
  • 请问,建立市场经济后,原计划经济哪里去?改革后,我们还在实行计划经济,为何没有提及? 2019-03-25
  • 频道栏目
    神奇公式秒杀全国11选5 > 安全 > 网络安全 > 正文

    山西新十一选五历史遗漏数据:Cyborg窃密木马及其工具和流程分析

    2018-10-19 10:11:00         来源:[db:作者]  
    收藏   我要投稿

    神奇公式秒杀全国11选5 www.2zfa.com 背景介绍
    日前收到一封带附件的邮件,该附件没有VT的上传记录,在自己搭的沙箱里测试,显示超时,而且虚拟机动态行为监测有异常。所以决定对样本进行分析。

    分析完毕后,发现这是一个前期免杀工作比较充分,而Payload实体功能却不甚完善的恶意代码。所以Po出分析过程以及部分与这个样本有关联的信息,仅供各位读者参考。
     
    0x01 样本分析
    样本进程树:
    Order Updates.exe
    ----CDS.exe
    --------Crypted.exe
    ------------PasswordFox.exe
    ------------Iepv.exe
    ------------mailpv.exe
    1. Order Updates.exe
    文件名称:    Order Updates.exe
    文件大小:    3,550 KB (3,635,200 字节)
    文件时间:    2018-07-15 11:00:19
    时 间 戳:   
    文件 MD5:    4323C548B9AF8FA95F006954F5DE98A5
    通过IDA进行分析,发现该样本是一个自解压文件,将文件后缀修改为rar,想法得到印证。


    动态调试样本时确认样本不带参数创建子进程CDS.exe。

    2. CDS.exe
    文件名称:    CDS.exe
    文件大小:    396 KB (406,016 字节)
    文件时间:    2018-07-16 10:20:29
    时 间 戳:    54DA7209->2015-02-11 05:03:05
    文件 MD5:    424BF196DEAEB4DDCAFB78E137FA560A
    最新VT查杀结果如下:

    静态分析Main函数,我们可以看到CDS.exe样本是一个标准的MFC应用程序,

    该样本的主要功能为:将自解压文件释放的c.dat读取并解密,写入crypted.exe。Cds.exe 通过CDocument、CFile和CDocmanager类提供的各种方法对文件进行操作。



    动态调试时,确认程序调用了lua,加载了很多加密和散列算法。

    加密算法导入完毕后,该样本选择了Blowfish算法对文件进行解密。并首先完成字符串解密,获取加密过的文件名和要释放的文件名:

    样本提供了两种解密数据的保存方式,取决于传进的字符串指针是否相同。


    下图为解密前后的缓冲区的内容。


    解密完毕后会将数据写入crypted.exe,然后通过设置EOF的方式删除最后8个字节,读取fs.setting文件,获得“false”的配置信息后,创建子进程。
    3. crypted.exe
    文件名称:    crypted.exe
    文件大小:    366 KB (374,784 字节)
    文件时间:    2018-07-16 11:35:20
    时 间 戳:    5B4AC69F->2018-07-15 11:59:27
    文件 MD5:    3678C20BC19439B0A07378D6B0405ABB
    从分析结果来看,crypted.exe 是一个由c#编写的典型窃密木马。它主要有以下功能??椋?/p> 通信???br /> 代码如下所示:默认SMTP通信,还支持ftp和php post的方法。

    键盘记录???br /> 设置键盘消息钩子,监控击键操作。

    密码窃取???br /> 窃取多种主机软件密码,还包括各种游戏、付费软件的CD-Key

    屏幕信息窃取???br /> 定时截取屏幕,窃取主机信息

    另外,程序还会收集主机信息,剪贴板内容等隐私信息。
    动态调试
    下图为样本的main函数:

    代码显示,程序运行时首先会弹窗,同时这个样本还有很未完成开发的类,所以我认为该程序尚处于开发和调试过程。

    程序会创建键盘消息钩子,记录击键信息,并创建几个线程,执行Cyber.X, Cyber.Y, Cyber.Z, Cyber.Srceeny和Cyber.C方法。方法和功能对应如下表:
    方法               功能
    Cyber.X            获取窗口信息并回传
    Cyber.Y            获取主机名并回传
    Cyber.Z            窃取密码并回传
    Cyber.Srceeny      截屏并回传
    Cyber.C            获取剪贴板信息并回传
    回传信息的方法是:调用通信??椋╰ransfer函数),并默认通过邮件协议发送图片内容,调试时的局部变量如下所示:

    需要重点说的是密码窃取??榈哪谌?,从代码定义的类名中,我们可以大致了解样本要窃取信息的对象:

    在上述窃取对象中,firefox密码,邮件客户端密码和IE浏览器密码是通过调用工具窃取得到的,具体代码如下:

    其他两个工具的释放和调用方法同上图相类似。其他密码的窃取则多是通过解析存放密码的文件或注册表键值得到的:


    至此样本行为分析完毕。
     
    0x02 关联分析和总结
    从样本分析结果来看,该样本母体为一个自解压文件,可以将任意需要的组件打包压缩,所以如果发现类似样本在VT上没有查询记录,也不足为奇。CDS.exe等组件则是一个可以灵活配置解压对象和解压算法的工具,只需要调换payload,修改配置文件即可在该层次上完成免杀操作。因为解密操作完成前的payload,此时可以是任意文件格式,无法被杀毒软件识别。虽然此次解密后的payload能在落地运行的第一时间被部分杀软查杀,但是分析结果表明,这是一个功能仍不完善的不完全版本。通过对CDS.exe以及payload的特征进行关联分析,找到了一些样本:

    通过样本关联分析和其他的情报碰撞,发现这样一个情况:mail.2sqpa.com这个邮件服务器在7月中旬以前被攻击者较为频繁地使用,但是近期有类似行为的恶意代码已经开始使用其他邮件地址和通信方式传递信息,而且丰富功能的同时,也已经开始做混淆和免杀处理。所以我认为这应该是一个活动时间较短的恶意代码家族,根据根据样本注释代码中的“Cyborg”字样,决定沿用作者对该软件的这一命名。

    上一篇:负载恶意软件HawkEye的VB Inject样本分析
    下一篇:Facebook CEO马克·扎克伯格:iMessage是我们在即时通讯领域的最大竞争对手
    相关文章
    图文推荐

    关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 神奇公式秒杀全国11选5

    版权所有: 神奇公式秒杀全国11选5--致力于做实用的IT技术学习网站

  • 西安市:构建“五方联动”社会治理新格局 2019-06-23
  • IP定向--云南频道--人民网 2019-06-23
  • 育儿十大坎 新手妈妈快快get起来 2019-06-21
  • 吉林:让更多农村孩子参加少年宫活动 2019-06-21
  • 美国发起贸易战,我们要让世界知道美元、美债并不可靠 2019-06-05
  • 紫光阁中共中央国家机关工作委员会 2019-05-31
  • 监察体制改革后 湘西半年72名公职人员主动交代问题 2019-05-12
  • 媒体宣传报道重庆日报 王国平:扮靓重庆两江四岸” 让城市有机更新 2019-04-26
  • 我相信“交警雨中护送高考生”是真,“交警雨中护送高考生”反被该高考生家长投诉是假。 2019-04-16
  • 14名消防员日巡逻28公里 洗冷水澡 2019-04-10
  • 靶壕有了“蓝军”,百发百中的“神枪手”练起来 2019-04-10
  • 不是秀强大了,别人就会来做朋友,这逻辑不对 2019-04-01
  • 候选企业:中国石油呼和浩特石化公司 2019-03-26
  • 航天员沙漠野外生存训练完美收官!为第一天团打call 2019-03-25
  • 请问,建立市场经济后,原计划经济哪里去?改革后,我们还在实行计划经济,为何没有提及? 2019-03-25
  • 重庆幸运农场投注规则 六合图库官方网站 哪个台可以双色球开奖直播 综合七乐彩走势图 围棋盘旳照片 极速11选5官方网址 下载千禧3dp3开机号 河南快3开奖结果今天一定牛 四不像最新图一肖中特 四川金7乐奖金设置 双色球预测专家汇总专 体彩排列三质合走势图 云南时时彩开奖视频 体彩浙江6+1开奖结果18131 秒速时时彩单期计划