欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

关于Emotet变种的深入分析(一)

来源:本站整理 作者:佚名 时间:2017-05-20 TAG: 我要投稿

一、背景
前几天,FortiGuard实验室捕捉到了某个恶意JS文件,该JS文件充当恶意软件下载器功能,用来传播Emotet木马的新变种。JS文件的原始文件名为“Invoice__779__Apr___25___2017___lang___gb___GB779.js”。JS文件就是JavaScript文件,可以通过鼠标双击,使用Windows脚本宿主程序(Windows Sciprt Host,wscript.exe)加以执行。在本文中,我们会按照时间顺序,逐步深入分析这个新型恶意软件变种。
二、传播恶意软件的JS文件
原始的JS代码经过混淆处理,因此难以直接理解。根据我的分析,它的任务是产生一段新的JS代码,存储在数组中,然后再执行这段代码。新生成的代码更容易理解,其代码片段如图1所示。正如我提到的,这段代码充当下载器角色,试图访问5个URL,将恶意软件下载到被感染的设备上。一旦某个下载任务完成,恶意软件会将下载的文件保存为系统临时目录中的“random name.exe”,并加以执行。

图1. 所生成的JS代码的部分片段
三、运行下载的EXE文件
下载的EXE文件运行时,会将自身移动到“%LocalAppData%\random name\random name.exe”,其中“random name”会使用本地文件名生成的随机名进行替换。在我的测试环境中,该样本文件名为“LatnParams.exe”。
为了保护自身运行,LatnParams.exe在运行时,会从自身中提取代码,使用CREATE_SUSPENDED标识调用CreateProcessW函数,将代码插入新创建的LatnParams.exe中,然后再恢复运行第二个进程。这些操作完成后,第一个进程就会退出。接下来,LatnParams.exe会在系统开始菜单的启动目录(Startup folder)中创建指向自己的lnk文件,以便在系统启动时自动运行。如图2所示。

图2. 启动目录中的恶意软件
四、第二个进程的主函数
接下来,我们来看看这个代码创建的第二个进程的具体工作流程。第二个进程创建了一个隐藏窗口,它的WindowProc函数功能是处理这个窗口接收的所有Windows消息。这个恶意软件通过调用SetTimer函数,生成WM_TIMER消息来启动第二个进程。
窗口创建完毕后,WindowProc函数会收到一个WM_CREATE消息,然后调用SetTimer函数,使系统每隔200ms发布WM_TIMER消息,再次回调窗口的WindowProc函数。

图3. 调用SetTimer函数
下面我们来看看这个WindowProc函数。这个函数的伪代码如图4所示。

图4. WindowProc函数
五、Case 6代码分支
在图4代码的Case 6分支中,恶意软件从目标设备上收集系统信息,包括计算机名、国别名、所有正在运行的进程名以及微软Office Outlook是否安装的相关信息。之后恶意软件将收集到的所有信息存放到某个内存缓冲区中再进行加密。正准备加密的数据如图5所示。

图5. 从受害者系统上收集的信息
我们可以看到,这些信息的第一部分是计算机名,后面的“16 00 01 00”代表的是CPU信息。接下来是正在运行的进程名,之后的“Microsoft Outlook”字段表明这台主机中安装了微软Office Outlook软件。你可能还会注意到进程列表中包含“OllyDBG.exe”。根据我的分析,我发现恶意软件的命令控制(C&C)服务器会检查进程名,如果服务器发现受害者主机上正在运行与调试工具有关的进程(如OllyDbg、WinDbg、IDA Pro等),那么它会返回不同的响应。在本文案例中,服务器返回了新版本的恶意软件,使恶意软件自身不断升级,直至这些调试工具退出为止。
加密完成后,恶意软件将加密过的数据、加密密钥以及哈希值一起存放到一个新创建的缓冲区中,之后会进入case 7代码分支中。
六、Case 7代码分支
这个分支的主要功能是连接到C&C服务器,将已收集的数据发送给服务器,同时也会接收C&C服务器返回的数据。
C&C服务器的IP及端口信息都被硬编码在恶意软件中。这个版本的恶意软件中共包含11个相关地址,如下所示:
004175D0                ; DATA XREF: WindowProc+257r
004175D0                ;sub_403AE0+Co
004175D0  dd 0D453A62Dh ;212.83.166.45
004175D4  dd 1F90h      ;8080
004175D8  dd 0ADE68843h ;173.230.136.67
004175DC  dd 1BBh       ;443
004175E0  dd 0ADE0DA19h ;173.224.218.25
004175E4  dd 1BBh       ;443
004175E8  dd 68E38922h  ;104.227.137.34
004175EC  dd 1BA8h      ;7080
004175F0  dd 894AFE40h  ;137.74.254.64
004175F4  dd 1F90h      ;8080
004175F8  dd 0BCA5DCD6h ;188.165.220.214
004175FC  dd 1F90h      ;8080

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载