欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Mega木马分析报告

来源:本站整理 作者:佚名 时间:2017-03-31 TAG: 我要投稿

1概述
兰眼下一代威胁感知系统发现的本次攻击为典型的鱼叉攻击,通过对目标用户的邮箱发送恶意文件,在受害者打开恶意文件后,自动下载木马以进一步进行控制。该木马通过多种手段判断沙箱、虚拟机和杀软来对抗目标环境的安全机制,保证自身能在不在被发现的的情况下运行。我们将该木马命名为Mega木马。
2分析
Mega木马的关键流程如下:

2.1钓鱼邮件
下图为兰眼下一代威胁感知系统收集到的攻击者和受害者邮箱信息,显然攻击者前期做了充足的情报收集工作。

邮件附件为一个Word文档,经分析,为一个包含对CVE-2012-0158漏洞利用代码的RTF文档,下面对这个文件进行详细分析。
MD5
91326328ab9e732eda20064926dc1a6e
文件大小
8.14 KB (8,345 字节)
文件类型
RTF
该Word文件使用的漏洞为CVE-2012-0158,其漏洞原理实:windows通用控件MSCOMCTL.ListView在处理 CObj这个对象的时候,存在检查缺陷,会导致栈溢出,从而可执行任意代码。
该文件中,攻击者使用了一些常用的绕过杀毒软件的方法,比如RTF的文件头,正常的RTF文件头为{\rtf1\,这里攻击者使用了{\rt,让杀毒软件识别不出来,我们可以看到其中的对象的为一个word文件。

下面是提取出来的word文件

进行动态调试,可以看到,该样本首先进行了一个解密的操作,即进行了一个异或操作,异或的常数为 3615A1B1 h,在解密出代码之后,跳转过去执行。
之后便是经典的通过PEB动态获取函数地址了。
在获取了函数API后,通过UrlDownloadToFile联网下载文件到临时文件夹,并执行。
下载的网址为https://kim***.com/wp/user1236.exe

下载下来,进行执行

至此,Word文件的使命完成, 后续工作转交新下载的木马进行。
2.2 Mega木马
反杀毒软件
接下来我们来分析新下载下来的木马,该木马为一个自解压文件,这个文件的静态信息如下:
文件名称
User1236.exe
文件大小
480 KB (492,435 字节)
文件类型
自解压文件
解压文件后,我们可以看到里面有一个VBS文件,和一个DLL文件和一个二进制文件。

自解压后自动运行的cEU00c.vbs这个文件

可以看到这个VBS文件的主要作用是通过rundll32调用gsp 2.dll文件的awfh2mw函数。

下面对gsp2.dll进行分析,下面是静态信息
文件名称
Gsp2.dll
MD5
12B1670E9BAEDA0C7C0FA7EB68843718
文件大小
10.6 MB (11,159,767 字节)
文件签名

壳信息

编译器信息
orland Delphi ( 2.0 – 7.0 )
编译时间
1992年6月20日
为方便调试,我们写了个小程序对这个函数进行调用。

在执行工程首先会打开名字为x的二进制文件。
在加载进来以后,会首先查找megaend和megastr 字符串,然后记录位置

并将这两个字符串的中间拷贝出来

下面是拷贝的部分二进制文件

然后继续对样本通过RC4算法进行解密,密钥为 lpaedw1j2s ,流密码长度不是传统的256而是变成了456。

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载