欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

对MSOffice的新变种木马(毒藤)进行深入的研究

来源:本站整理 作者:佚名 时间:2017-09-06 TAG: 我要投稿
win32serviceutil.HandleCommandLine({65YbRI+gEtvlZpo0qw6CrNdWDoev})
花括号中的数据是加密IP和端口信息,图14是具体信息。

图14 PasteBin中加密的C&C办事器IP和端口
解密后的内容见图15,

图15 解密的IP地点和端口
从图15可以或许肯定解密的C&C办事器IP是172.104.100.53,端口是1BBH也便是443端口。必要留意的是4个页面中的IP和端口都是不一样的,该歹意软件的作者经由进程简略更新4个PasteBin页面中的python代码就可以或许更新这些IP地点和端口信息。
与C&C办事器通讯
该歹意软件获获得IP和端口信息后就会提议衔接并发送数据到C&C办事器,它和办事器之间传输的一切数据包都颠末公有算法加密,数据包布局就像如许(前14H字节是头部部门,14H今后是数据部门):
+00 4 bytesare a key for encryption or decryption.
+04 4 byte,are the packet command.
+0c 4 bytes isthe length in bytes of the data portion of the packet.
+14 4 bytes.From this point on is the real data.
与办事器树立衔接以后,会发送30001指令,办事器经由进程30003指令应对,30003指令哀求客户端网络受害者主机信息,一旦歹意软件收到此指令,就会挪用大批API来网络主机信息。
a) 挪用GlobalmemoryStatusEx网络体系物理内存和虚构内存的以后利用环境
b)从体系注册表“HKLM\HARDWARE\DESCRIPTION\SYSTEM\CENTRALPROCESSOR\0\~MHz”中获得CPU速率信息
c) 挪用GetDiskFreeSpaceExA获得一切分区的余暇磁盘空间
d)挪用GetNativeSysstemInfo获得CPU架构
e) 挪用EnumDisplaySetting获得表现设置
f)  从kernel32.dll网络文件信息
g)挪用GetComputerName和GetUserName获得以后盘算机名和用户名
h) 挪用GetSystemTime获得体系光阴,挪用GetVersionEx获得体系版本信息
i)  末了从解密的设置装备摆设数据中复制svchost.exe的完备门路和常量字符串PasteBin83(见图13)
图16可以或许看到网络到的未加密体系信息,图17展现了要被发往C&C办事器的加密数据,前四个字节用来加密或解密以下数据:

图16 从受害者主机网络的信息

图17 加密的受害者主机信息
阐发发明,歹意软件连续从PasteBin获得C&C办事器IP并坚持与C&C办事器的轮回通讯(经由进程Sleep(1000)挂起履行)。到目前为止,只发明指令“030001” 和 “030003”被利用过,后续会连续监控和阐发该歹意软件的行动来看它还会做甚么。
办理办法
FortiGuard反病毒办事曾经可以或许辨认”Payment_Advice.ppsx”文件为MSOFFICE/PoisonIvy.A!tr.dldr病毒,辨认”Thumbs.bmp”为MSOFFICE/PoisonIvy.A!tr病毒。
IOC
URL:
hxxp://203.248.116.182/images/Thumbs.bmp
样本SHA-256哈希:
Payment_Advice.ppsx
E7931270A89035125E6E6655C04FEE00798C4C2D15846947E41DF6BBA36C75AE
Thumbs.bmp
A3E8ECF21D2A8046D385160CA7E291390E3C962A7107B06D338C357002D2C2D9

上一页  [1] [2] [3] 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载