一个连接引起的“恶意执行”

时间 2020-01-31

标签一个连接引起恶意执行繁體版

原文原文链接

引子：
最近研究算法上瘾了，也分析了一些最新的恶意软件（后续更），今早浏览样本的时候发现一款老病毒，大致分析了一下，还算有趣因此简单分享一下。

病毒分析：
一、解压样本后，只发现了一个连接？？连接名叫帐号密码，我第一次看到居然双击了（其实知道有隐藏文件，习惯性的操做很可怕），双击后感受就中招了，以下所示：算法

图片一：样本
二、右击查看一下连接属性及连接位置，发现是一个该文件夹下vb脚本的快捷方式，调整一下文件夹显示属性：

图片二：VBS
三、用010打开.vbs来看一下代码，以下所示：

图片三：隐式执行
四、利用shell执行了~\jpg.exe，打开文件夹继续跟中一下，以下所示：

图片四：隐士文件夹
五、文件夹中有jpg.jpg图片，还有.ini初始化文件，怎么下手分析？Shell对象执行了jpg.exe，那么静态分析，不过先看一下jpg图片与.ini数据，以下所示：

图片五：数据查看
六、IDA中静态观察一下jpg.exe安装程序，以下所示：

图片六：jpg.exe
七、由于是分析过了，因此函数名称已改为WriteLog，进入函数分析一下：

图片七：追加（建立）日志
八、日期格式化输出，写入文件，以下所示：

图片八：C标准文件流
九、而后设置了环境变量等属性，以下所示：

图片九：环境属性
十、分享一段汇编代码，memset的汇编原理，从汇编来看，真的是高效率（论时效）以下：shell

xor     eax, eax
lea     edi, [esp+21Ch+var_103]
mov     [esp+21Ch+Value], 0
rep stosd
stosw

来看rep stos这条指令，以下所示：网络

操做码	指令	详细
F3 AA	REP STOS m8	使用 AL 填写位于 ES:[(E)DI] 的 (E)CX 个字节
F3 AB	REP STOS m16	使用 AX 填写位于 ES:[(E)DI] 的 (E)CX 个字
F3 AB	REP STOS m32	使用 EAX 填写位于 ES:[(E)DI] 的 (E)CX 个双字

十一、IDA总体浏览了一下，发现每个操做都会有详细的日志记录，并且以Entry -- Leave为完成标志，日志记录以下：

图片十：日志记录
解析整个流程以下：
一、进入Setup.exe安装
二、调用了SetEnvironment
三、环境变量SetupExeLocation设置为C:\Users\15pb-win7\Desktop\当前路径
四、环境变量PROCESSOR_ARCHITECTURE设置为x86
五、SetEnvironments返回1成功
六、CmdLine：baidu.com 文件名称
七、建立了注册表：
八、离开了Setup.exe

图片十一：注册表建立
十二、上面步骤是以日志过程分析的，根据实际汇编来看，建立进程之后才会进行注册表操做，以下所示：

图片十二：建立进程
1三、剩下的就是命名为baidu.com.exe的可执行文件了，火绒见先运行看看行为，运行后居然弹出了jpg,jpg的图片，以下所示：

图片十三：baidu.com.exe
1四、这时候捋一捋，双击最开始快捷方式-->会执行VB-->执行jpg.exe-->执行baidu.com.exe打开图片.。
意味着双击快捷方式就会打开图片，其实已经运行了恶意程序baidu.com.exe程序，图片是为了假装，迷惑受害者，觉得双击的快捷方式就是一个图片（文章最后附整个思惟导图）。
1五、看一看火绒剑的监控信息，有明显的链接发送socket网络，意味着数据的泄露与恶意盗取，有着特洛伊的特性（远控）,以下所示：

图片十四：行为监控
1六、先线上分析一下，看一下更为精准的恶意描述，以下所示：

图片十五：线上分析socket

1七、线上分析辨别出这并非一个高危病毒（虽然不必定准确），有url与ip，意味着可能会下载恶意代码和上传系统/我的敏感数据。
其实这个没有壳，一开始已经拉入PDIE查看了基本信息，可是又压缩与加密函数，补图一张，以下所示：

图片十六：PEID分析
由于本篇帖子重点不是样本分析，因此最后样本不进行详细分析，整篇帖子注重于整个手法与假装手段，以下所示：

图片十七：思惟导图ide