欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

对MSOffice的新变种木马(毒藤)进行深入的研究

来源:本站整理 作者:佚名 时间:2017-09-06 TAG: 我要投稿

图8 在ntdll模块中反省API断点
4、 运转一个线程检测能否存在运转的阐发工具,经由进程创立特别定名的管道来实现。好比管道\\.\Regmon代表注册表监控工具RegMon,管道\\.\FileMon代表当地文件监控工具FileMon,另有管道\\.\NTICESoftIce等等。假如此中一个定名管道无奈创立,意味着此中的一个阐发工具正在运转,歹意代码就会很快停止进程。
5、 会经由进程检测一切运转的windows法式能否有包括特别字符的windows类名来断定有无运转中的阐发工具,好比WinDbgFrameClass是Windbg主windows类名,这类反省也是在线程中结束(定名为Threadfun3),下图9展现了该线程函数的事情进程。

图9 反省windows类名
6、 经由进程检测能否存在名为“Wireshark-is-running-{…}”的互斥工具(经由进程挪用OpenMutex函数)来采用反抓包手腕。
7、 经由进程挪用“IsDebuggerPresent”这个API来检测进程能否运转在调试器中(前往1),这是一种反调试检测,也会挪用IsDebuggerPresent来检测履行光阴,假如超过了1000毫秒,阐明进程是在调试器中或虚构机中运转的就会参加进程。
以上这些都是该歹意软件采用的反阐发技巧,这些检测大部门都是在线程中每秒结束一次,任何一次婚配的检测都邑招致歹意软件进程结束。为了继承阐发该歹意软件,起首必要绕过这些检测,这可以或许经由进程静态调试的办法来实现,好比,转变IsDebuggerPresent的前往值为0来绕过“能否在调试器中运转”的检测。
从解密字符串中天生把戏字符串
解密3组字符串并合在一起获得一个把戏字符串”Poison IvyC++”,该字符串存储在全局变量qword_1B0E4A10中,从以下代码片断中可以或许看到这个把戏字符串的发生进程。

图10 发生把戏字符串
在6个分歧模块中暗藏症结功效
该歹意软件从加密数据中加载了几个模块,创立了一个双链接列表并保留和治理这些加载的模块,来自这些模块的导出函数实现了歹意软件的重要功效,这类办法给静态调试带来了挑衅,变量qword_1AFE45D0保留双链接列表头部,每个列表中的工具有以下布局:
+00H  pointer to previous object in the list
+08H  pointer to next object in the list
+18H  for Critical Section object use
+28H  the base address of the module this object isrelated to
+30H  pointer to export function table
歹意软件随后一一解密并解压这6个模块,并增加他们到双链接列表中,图11展现了从这6个模块中解密的一个代码片断。

图11解密解压模块
每个模块都有一个初始化函数,该函数在模块实现解密和解压时被挪用,此中3个模块有类似于上文描写的反阐发才能,为了继承阐发此歹意代码,必要窜改代码来绕过检测函数。随后挪用这些模块的导出函数,从unk_1AFE3DA0处的缓冲区解密设置装备摆设数据,此设置装备摆设数据在进程运转时代被解密屡次,告诉歹意代码若何事情,下文会具体论述设置装备摆设数据。
歹意软件从设置装备摆设数据中提取一个字符串“%windir%\system32\svchost.exe”,随后挪用CreatProcess来运转svchost.exe,从歹意代码运转内存中注入代码和数据到新创立的svchost.exe中,末了挪用注入代码并参加以后运转的进程,歹意代码后续的事情在svchost.exe中实现。
SVCHOST.exe
注入的代码和数据是全部歹意软件的焦点,在svchost.exe进程中重新开端,以前发生的每一步会在svchost.exe中反复结束,好比履行反阐发检测代码,获得把戏字符串,创立双链接列表,解密模块并参加到双链接列表等。
在履行模块2的01736C2 cmp dword ptr [rdi+0Ch]指令时会抉择分歧的代码分支,[rdi+0ch]是一个标记位,会在代码初始化实现时通报,标记位值为0时运转svchost.exe并注入代码,标记位值为1时衔接C&C办事器,标记位在svchost.exe注入代码履行前被置为1,图12展现了代码分支逻辑。

图12 代码分支片断
从PasteBin获得C&C办事器信息
C&C办事器的IP地点和端口被加密保留在PasteBin网站中,PasteBin是文本代码分享网站,注册用户可以或许粘贴文本代码并分享给其他人,歹意代码作者创立了4个如许的页面并在页面参加了C&C办事器IP和端口信息,还记得先前提到的加密设置装备摆设数据吗?它包括4个PasteBin 的URL,分别是:
hxxps://pastebin.com/Xhpmhhuy
hxxps://pastebin.com/m3TPwxQs
hxxps://pastebin.com/D8A2azM8
hxxps://pastebin.com/KQAxvdvJ
图13展现了解密的设置装备摆设数据。

图13 解密的设置装备摆设数据
拜访此中任何一个URL会看到Python代码,加密的办事器IP地点和端口被暗藏在python代码中,检查主函数有以下代码:

上一页  [1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载