欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Cyborg窃密木马及其工具和流程分析

来源:本站整理 作者:佚名 时间:2018-08-04 TAG: 我要投稿

背景介绍
日前收到一封带附件的邮件,该附件没有VT的上传记录,在自己搭的沙箱里测试,显示超时,而且虚拟机动态行为监测有异常。所以决定对样本进行分析。

分析完毕后,发现这是一个前期免杀工作比较充分,而Payload实体功能却不甚完善的恶意代码。所以Po出分析过程以及部分与这个样本有关联的信息,仅供各位读者参考。
 
0x01 样本分析
样本进程树:
Order Updates.exe
----CDS.exe
--------Crypted.exe
------------PasswordFox.exe
------------Iepv.exe
------------mailpv.exe
1. Order Updates.exe
文件名称:    Order Updates.exe
文件大小:    3,550 KB (3,635,200 字节)
文件时间:    2018-07-15 11:00:19
时 间 戳:   
文件 MD5:    4323C548B9AF8FA95F006954F5DE98A5
通过IDA进行分析,发现该样本是一个自解压文件,将文件后缀修改为rar,想法得到印证。


动态调试样本时确认样本不带参数创建子进程CDS.exe。

2. CDS.exe
文件名称:    CDS.exe
文件大小:    396 KB (406,016 字节)
文件时间:    2018-07-16 10:20:29
时 间 戳:    54DA7209->2015-02-11 05:03:05
文件 MD5:    424BF196DEAEB4DDCAFB78E137FA560A
最新VT查杀结果如下:

静态分析Main函数,我们可以看到CDS.exe样本是一个标准的MFC应用程序,

该样本的主要功能为:将自解压文件释放的c.dat读取并解密,写入crypted.exe。Cds.exe 通过CDocument、CFile和CDocmanager类提供的各种方法对文件进行操作。



动态调试时,确认程序调用了lua,加载了很多加密和散列算法。

加密算法导入完毕后,该样本选择了Blowfish算法对文件进行解密。并首先完成字符串解密,获取加密过的文件名和要释放的文件名:

样本提供了两种解密数据的保存方式,取决于传进的字符串指针是否相同。


下图为解密前后的缓冲区的内容。


解密完毕后会将数据写入crypted.exe,然后通过设置EOF的方式删除最后8个字节,读取fs.setting文件,获得“false”的配置信息后,创建子进程。
3. crypted.exe
文件名称:    crypted.exe
文件大小:    366 KB (374,784 字节)
文件时间:    2018-07-16 11:35:20
时 间 戳:    5B4AC69F->2018-07-15 11:59:27
文件 MD5:    3678C20BC19439B0A07378D6B0405ABB
从分析结果来看,crypted.exe 是一个由c#编写的典型窃密木马。它主要有以下功能模块:

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载