欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

TrickBot金融木马病毒Dropper研究

来源:本站整理 作者:佚名 时间:2017-09-12 TAG: 我要投稿

本年7月份,网安研讨人员捕获到 TrickBot金融木马病毒的新样本,经由过程研讨和阐发发觉,借助于Necurs僵尸收集的春风,TrickBot金融木马软件背后的黑客构造正在对包含新加坡、美国、新西兰、加拿大等24个国度的金融机构提议新一轮收集攻击。本文的重要内容是对TrickBot银行木马的Dropper(DOC00039217.doc)开始深刻的阐发和研讨。
TrickBot银行木马Dropper-DOC00039217.doc
DOC 00039217.doc(样本示比方下图所示)经由过程运转歹意的VBA剧本法式来下载第二阶段木马法式,下载到的木马法式可用于下载并装置其余歹意软件。

文件详细信息

技巧细节
拿到样本以后,咱们起首从该DOC文件的首部开端阐发,在文件首部外面咱们找到了具备XML引用的PK字段,这些发明表现该DOC文件是一个Microsoft Word DOCX和DOCM范例的文件。要反省该DOC文档中都包含了哪些文件,咱们只需将DOC扩大名更改成ZIP扩大名便可,并应用归档管理器关上该ZIP文件,解压以后的文件如下图所示。

在紧缩包文件中,咱们的研讨人员找到了一个包含歹意VBA宏代码的vbaProject.bin文件。在文本编辑器中关上该歹意软件,咱们发明一旦关上DOC00039217.doc这个原始文件,该VBA歹意剧本就会开端运转。在履行的过程当中,该剧本将起首从http://appenzeller.fr/aaaa这个歹意网站高低载一个文件,详细如下图所示:

下载获得的aaaa文件其实是一个VBScript剧本法式,该剧本法式会去挪用Wscript.Shell工具并运转Powershell来下载另一个文件,用于下载此文件的参数变量是由第一个剧本“amphibiousvehicle.eu/0chb7”通报过去的,详细如下图所示:

在阐发该Dropper的过程当中,咱们获得一个重要的发明,那便是上述下载的文件被放到目的机械的%TEMP%文件夹偏重命名为petya.exe,但这个petya.exe文件不是最近的Petya 打单软件,它是一个木马法式。
颠末阐发咱们发明上述咱们下载到的木马法式应用PECompact2加壳工具停止了加壳处置,为了能够或许对加壳法式停止脱壳处置,咱们起首将其加载到咱们的调试器中,并进入调试器抉择的“法式入口点”,详细如下图所示。

而后,咱们跳转到保留在EAX寄存器中的地点,该地点是0x002440e4,如下图所示:

接下来,咱们从0x002440e4地点处的指令开端向下单步履行,不停履行到末了一条指令,该指令应当是一条跳转到其余其余寄存器地点的JMP指令。以后单步履即将使咱们进入到法式的Original Entry Point(OEP),此时能够应用传统的导入表重修技巧来复原文件。固然纰谬木马软件履行脱壳操纵该歹意法式也能够或许失常履行,然则脱壳后将使得动态阐发变得加倍的轻易。

歹意软件履行后,petya.exe将本身拷贝到目的机械上的Roaming\winapp文件目次,并将其重命名为odsxa.exe文件。在Roaming\winapp文件目次中,petya.exe法式还天生client_id和group_tag这两个文件,这两个文件中包含了无关受害者机械的标识字符串。同时,petya.exe法式还在Roaming\winapp文件目次中天生一个modules文件夹,该文件夹用于保留稍后下载的其余歹意软件/模块/插件,详细如下图所示。

一旦petya.exe法式将一切器械都拷贝到新的文件夹中了,该法式将主动加入,上文中天生的odsxa.exe将会接收继承履行。odsxa.exe法式起首启动SVCHOST.EXE法式并使其处于可叫醒状况,以后在SVCHOST过程内存段中的一个新的代码节中注入木马法式想要履行的歹意代码。这类注入过程是平安的,由于它在SVCHOST.EXE的平安高低文中运转。如许注入后的代码能够在Windows操纵系统中平安的履行而不轻易被平安检测工具辨认到(ps:这类注入伎俩以前平安客平台上曾经有先容过,概况见【技巧分享】Dll注入新姿态:SetThreadContext注入)。

在注入操纵完成以后,SVCHOST.EXE过程将由可叫醒状况转酿成履行状况,它起首经由过程向正当的网站ipinfo.io/ip收回GET哀求来获得受害者机械上的公网IP,详细如下图所示。咱们在group_tag文件中找到了Mac1,在client_id文件中找到了WIN-FD 。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载