欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

AutoIT FUD Crypter 样本分析

来源:本站整理 作者:佚名 时间:2019-09-03 TAG: 我要投稿


 
样本细节如下:
First seen (MalSilo): 2018-11-28
File name: K2bkm.jpg
drop site: https[:]//f.coka[.]la/K2bkm.jpg
md5: 7ece8890e1e797843d68e73eb0ac2bc4
sha1: 4448b907f2c9f9ee8e4b13e4b6c292eef4b70930
sha256: 84d0c9352eacf92a919f972802a6a7949664f204f984aaf4b44da1b1aa7aa729
ssdeep: 24576:Fu6J33O0c+JY5UZ+XC0kGso6FapiE6kitdnsxWY:Hu0c++OCvkGs9FaeFY
恶意样本执行流程
行为图

Pstree图

详细视图
sample.exe
    |
    _ (copy of) sample.exe
    _ schtasks.exe 1368 /create /tn 5265676973747279204B6579204E616D65 /tr "C:Users[..]AppDataLocalTempFolder Namewinint.exe" /sc minute /mo 1 /F
 
样本动态行为
程序执行步骤如下:
sample.exe运行后进行反分析检查
AutoIT脚本体被执行
AutoIT代码:
启动执行逻辑
删除Zone.Identifier
创建互斥锁
sleep
在一个PE资源里面运行解密线程
通过shellcode执行RunPE
安装持久性控制程序
最终执行payload
Layer 1
为了避免执行(if)被监视,加载器的第一层只检查它是否正在被调试,同样是isDebugPresent在offset时调用good old 0x00403b7A。

如果是这种情况,将导致向用户显示虚假消息并停止执行。

在这个阶段,不会执行额外的反分析检查,执行过程完美无瑕,将控制传递给了AutoIT代码解释器。
Layer 2
该样本对binder,startup,persistautoinject等核心功能做了混淆。
整个代码可以分为3个部分。
top:一些主要的原生AutoIT函数的原生混淆+基本的字符串混淆函数
middle:核心功能
bottom:主要执行逻辑
让我们从下往上开始分析

函数名称
操作
enhkoxkvrufrsntgjkoyxiard
删除Zone.identifier文件([sample]:Zone.identifier),这将避免Windows通知用户有关不受信任文件的执行
mutex
它是一个自定义实现(通过Windows API调用 – > Kernel32.dll -> CreateMutexW),用于创建/检查互斥锁并确保只有一个感染实例正在运行
_cryptedfile
它将多个函数链接在一起,但最终它从示例文件中读取一个PE资源并对其进行解密,使其可用于下一个函数
dnqmjpfdpcuxwbwkadcaibgzw
RunPE注入功能,利用shellcode加载最终的payload(在本例中为Darkcomet)
startup
持久性模块,这将安装通过schtasks.exe执行的任务,并将每分钟运行该线程
ughotphdsufuiehfpoegoakmi
另一种检查样本是否正在运行并在其上调用RunPE注入函数的方法
有些函数在本示例中是无用的,但有几个挺有意思。我们可以看一下:
PersistAutoinject
Binder
UACBypass
USBSpreader
AntiVM
PersistAutoInject
经过一些清理和函数重命名后,可以清楚地看到payload是如何注入RegAsm.exe的,$_cryptedfile`存储着解密的PE资源文件。

Binder
根据提供给函数的参数,存储在打包器中的payload将附加到一个干净的文件中,然后启动。
合并后的文件被放在%temp%,%appadata%`文件夹下运行。

UACBypass
基于操作系统版本,运行两种不同类型的UAC Bypass技术代码。
对于Windows 7或8是通过eventwer。

USBSpreader
对可移动设备进行枚举
对于每个文件 – 没有扩展名.pif– 将payload复制到文件夹中,并使用原始文件名重命名,添加扩展名.pif。
原始文件已删除

AntiVM
对三个注册表进行检查
通用注册表
VMware
VirtualBox

[1] [2] [3] [4] [5] [6] [7]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载