恶意 HTML 文件 (QBot) 分析

admin 2022年10月18日17:49:29评论32 views字数 1070阅读3分34秒阅读模式

读者 Eric 提交了一个恶意 HTML 页面,其中包含带有恶意软件的 BASE64 图像。


让我们来看看。使用我的工具base64dump.py我在 HTML 代码中搜索长 BASE64 字符串:

恶意 HTML 文件 (QBot) 分析

看起来确实有2张图片。一个 GIF 和一个 SVG 文件。

让我们仔细看看:

恶意 HTML 文件 (QBot) 分析恶意 HTML 文件 (QBot) 分析

GIF 文件具有非常高的熵,并且没有长字符串。而 SVG 文件包含 BASE64 数字的字节序列,长度为 596938 字节。

所以很可能在 SVG 文件中隐藏了一些东西。

让我们尝试第二级 base64 解码:

恶意 HTML 文件 (QBot) 分析

PK:那可能是一个 ZIP 文件。让我们试试zipdump.py:

恶意 HTML 文件 (QBot) 分析

它确实是一个 ZIP 文件,但它受密码保护。让我们 grep 获取 HTML 文件中的密码:

恶意 HTML 文件 (QBot) 分析

恶意 HTML 文件 (QBot) 分析看起来 abc333 是密码。我们试试看:

恶意 HTML 文件 (QBot) 分析

ZIP 文件包含一个 ISO 文件。

让我们看一下isodump.py:

恶意 HTML 文件 (QBot) 分析恶意 HTML 文件 (QBot) 分析

isodump.py 只看到一个文本文件。恶意文档(现在很明显这是恶意的)仅包含一个文本文件,这是非常不可能的。发生了什么,是有一个二级卷描述符,但 isodump 使用的 pathlab 模块无法识别二级卷。


由于我现在希望该 ISO 文件中有一个 Windows 可执行文件,因此我使用pecheck.py来创建 PE 文件:

恶意 HTML 文件 (QBot) 分析

事实上,我们有一个 32 位的 DLL,原来是QBot。

QBot沙箱检测报告:https://www.virustotal.com/gui/file/8bf00c146ff533fa193c448d5ccdeb0ba5f56764d290b3de0f55f1b40acf810a


7-zip 实用程序可以帮助我们查看 ISO 文件,但它不接受 ISO 文件作为通过标准输入的输入。


所以我首先必须将文件写入磁盘,然后让 7-zip 对其进行分析:

恶意 HTML 文件 (QBot) 分析恶意 HTML 文件 (QBot) 分析


tools - 工具

base64dump.py

https://blog.didierstevens.com/2022/07/19/update-base64dump-py-version-0-0-23/

zipdump.py

https://blog.didierstevens.com/2022/05/13/update-zipdump-py-version-0-0-22/

isodump

https://github.com/DidierStevens/Beta/blob/master/isodump.py

pecheck.py

https://blog.didierstevens.com/2022/05/26/update-pecheck-py-version-0-7-15/

原文始发于微信公众号(Ots安全):恶意 HTML 文件 (QBot) 分析

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年10月18日17:49:29
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   恶意 HTML 文件 (QBot) 分析http://cn-sec.com/archives/1357136.html

发表评论

匿名网友 填写信息