欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

分析一个用于传播Hancitor恶意软件的Word文档(第一部分)

来源:本站整理 作者:佚名 时间:2018-08-25 TAG: 我要投稿

 就如前面所提到的那样,有一个Document_Close()子程序会在程序关闭时执行,它调用了子程序closee()。因此,需要重点关注的函数似乎是closee()。首先,恶意宏会使用WMI查询来查看当前正在运行的进程列表:
SELECT * FROM Win32_Process
然后,一个for 循环被执行,遍历列表中的每个进程,记为x。对于每个进程,将进程名称与bdagent.exe和PSUAMain.exe进行比较。从名称上看,它们像是由恶意软件下载的恶意文件,以防止出现几个Hancitor实例同时运行的情况。但在我通过Google搜索之后发现,bdagent.exe与BitDefender相关联,而PSUAMain.exe与Panda Security相关联。因此,恶意软件似乎是在检查这两个防病毒程序,并为每个程序运行不同的执行方法。如果bdagent.exe正在运行,恶意宏则将创建%TEMP%\1.hta并将句柄存储在#1中。当你看到Print#1时,宏实际上正在将字符串写入1.hta,而不是将其显示出来。具体来讲,宏会对经编码的字符串进行Base64解码(使用DecodeBase64()),将其转换为unicode字符串,然后写入1.hta。在进行了两次之后,文件会被关闭。最后,使用 一个 WScript.Shell对象将1.hta移动到%TEMP%文件夹并以静默方式执行 ,然后宏退出。

在解码这些字符串之后,我们可以很清楚地看到Hancitor同时使用了Visual Basic脚本和JavaScript来执行6.exe。有意思的地方在于,这个恶意软件并非直接通过执行可执行文件来执行最终的payload,而是创建了一个.hta文件,但前提是bdagent.exe正在运行。这也许是因为bdagent不会对.hta文件进行扫描?

无论原因如何,让我们先回到宏。如果进程名称与PSUAMain.exe匹配  ,则另外2个字符串会被解码并用于形成shell命令,由Shell在行的开头执行。在解码之后,我得到了如下命令:
cmd.exe /c ping localhost -n 100 &&%TEMP%\6.exe
这个ping命令似乎用于推迟6.exe的执行,使得它会在ping退出后执行。在执行cmd.exe之后,宏也会退出。

最后,如果没有进程名称与bdagent.exe或  PSUAMain.exe匹配,则  for 循环结束,然后执行一个Shell命令(由3个base64编码的字符串组成)。在解码之后,我得到了如下命令:
cmd.exe /c ping localhost -n 100 &&%TEMP%\6.pif
我们可以看出,如果没有找到匹配项,恶意软件则会执行6.pif,而不是  6.exe 或  1.hta。我不确定为什么会这样,但我相信它背后必然有一大堆理论,只是我还没有找到。一旦执行了最终的payload,宏的运行也就结束了,只留下6.exe 或  6.pif运行。
概要
l  嵌入在恶意文档中的宏被启用;
l  6.exe和6.pif在%TEMP%文件夹中被创建;
l  一个干净的文档被创建,并替换恶意文档;
l  恶意文档退出,但宏将一直运行到返回为止;
l  恶意软件会检查bdagent.exe和PSUAMain.exe是否在运行:
如果bdagent.exe正在运行,恶意软件将在%TEMP%文件夹中创建1.hta,然后执行该文件夹,从而导致6.exe运行;
如果PSUAMain.exe正在运行,恶意软件会执行一个shell命令,该命令首先运行ping.exe,然后运行6.exe;
如果两个进程都没有运行,恶意软件会执行一个shell命令,首先运行6.exe ,然后运行6.pif。
l  恶意word文档完全退出,只留下6.exe 或  6.pif运行。
IoC
恶意Word文档(MD5):00955c1db30ddc172086a061ab158f00
6.exe/pif(MD5): 992f079a832820c61388f753dab1114d
 

上一页  [1] [2] 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载