欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

深入剖析滥用合法ffmpeg的.NET恶意软件

来源:本站整理 作者:佚名 时间:2017-07-24 TAG: 我要投稿

当下,恶意软件的一大发展趋势是,将恶意软件包“纳入”合法应用程序中。因此,在本文中,我们将同读者一道来分析一个下载合法ffmpeg的恶意软件。借助这个应用程序,这款使用.NET语言编写间谍软件貌似简单,但是却有着非常强大的威力。现在,虽然大多数恶意软件都能够在被感染的机器上定期发送截图了,但是这个恶意软件却可以进一步记录完整的视频,从而窥探用户的各种活动。
上述恶意软件家族是由MalwarHunterTeam于2015年首次发现的,最近这种势头正在呈现蔓延之势。
分析的样本
2a07346045558f49cad9da0d249963f1 - 注入器(JS)
         049af19db6ddd998ac94be3147050217 - 可执行文件(C#)
             9c9f9b127becf7667df4ff9726420ccb - 加载器
                 85d35dd33f898a1f03ffb3b2ec111132 - 最终有效载荷
下载的插件:
    e907ebeda7d6fd7f0017a6fb048c4d23 – remotedesktop.dll
    d628d2a9726b777961f2d1346f988767 – processmanager.dll
行为分析
JS文件首先将包含的可执行文件放入%TEMP%文件夹中,然后运行它。而可执行文件则利用一个随机的文件名完成自动安装,并在%APPDATA%中创建自己的文件夹。代码的持久性是通过注册表run键来实现的。该恶意软件的另一个副本将被放入启动文件夹中:

在运行期间,可执行文件会在其安装文件夹内创建.tmp文件。这些文件的内容没有进行加密,如果我们仔细观察的话,就会发现它实际上用于记录按键和正在运行的应用程序的相关信息:

我们注意到的另一个有趣的事情是,该恶意软件会下载一些合法的应用程序:Rar.exe、ffmpeg.exe以及相关DLL:DShowNet.dll,DirectX.Capture.dll

此外,我们发现该恶意软件在运行时将关闭并删除某些应用程序。在测试过程中,它从被攻击的机器中删除了ProcessExplorer和baretail。
网络通信
该恶意软件通过TCP的98端口与CnC服务器进行通信。
如果服务器向客户端发送一个命令“idjamel”,那么客户机就会返回收集到的受害机器的基本信息,例如machinename / username、安装的操作系统以及正在运行的进程的列表。之后,服务器会向客户端发送相应的配置信息,即目标银行列表。

该Bot将配置信息保存在注册表中:

之后,CnC发送一组Base64编码的PE文件。每个文件的内容都可以通过文件名的前缀来进行识别:非恶意的二进制文件由关键字“djamelreference”标识,恶意插件则由“djamelplugin”标识。
下载DShowNET.dll:

下载插件 – remotedesktop.dll (e907ebeda7d6fd7f0017a6fb048c4d23):

ffmpeg应用程序从下面的URL地址下载:

打开地址我们可以看到一些页面,这可能是攻击者所控制的。 Facebook的按钮指向“AnonymousBr4zil”帐户:

这个bot会向服务器报告正在运行的应用程序,即通过标题栏发送Base64编码的文本:

例如:

awt||UHJvY2VzcyBFeHBsb3JlciAtIFN5c2ludGVybmFsczogd3d3LnN5c2ludGVybmFscy5jb20gW3Rlc3RtYWNoaW5lXHRlc3Rlcl0=djamel
解码后的内容:

Process Explorer - Sysinternals: www.sysinternals.com [testmachine\tester]
解开该恶意软件的神秘面纱
脱壳
该样本是利用CloudProtector加壳的,这一点要特别感谢@MalwareHunterTeam的提示。它使用的加壳软件,与我们之前分析的样本所使用的加壳软件完全相同(之前的分析文字请访问这里)。就像在之前所了解的一样,它使用自定义算法和存放在配置中的密钥来解密有效负载。然后,借助RunPE技术(也称为ProcessHollowing),将解密的可执行文件加载到内存中。

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载