记一次lpk劫持样本分析 - 0xNOPE

admin 2021年12月31日14:54:50先知文章评论38 views3215字阅读10分43秒阅读模式

样本概况

样本基本信息

MD5: 304bbe0e401d84edf63b68588335ceb6
SHA-1: 8389fb0466449755c9c33716ef6f9c3e0f4e19c8
SHA-256: 1f3e836b4677a6df2c2d34d3c6413df2c5e448b5bc1d5702f2a96a7f6ca0d7fb File size: 52.50 KB (53760 bytes)

测试环境及工具

测试环境:Windows 7

测试工具:PEID、StudyPE、IDA Pro、x32dbg、火绒剑

沙箱检测

从上面的沙箱检测结果,初步可以得到的信息:

该病毒启动具有隐藏界面的cmd窗口,将自身拷贝到其他目录,修改网络代理设置,连接了三个域名等操作。

样本分析

主要流程概述

第一次运行样本后会创建系统服务、添加注册表的键值,根据系统时间随机生成一个名字的文件,将母体拷贝到该文件并释放到C:/Windows路径下,给新生成的子文件icykmk.exe添加服务的自启动项,结束母体并删除。

之后运行icykmk.exe,首先加载hra33.dll然后创建4个线程。

加载的hra33.dll首先遍历文件,判断是否存在.exe,如果存在,就继续递归寻找下一个;否则,就在同路径下创建lpk.dll;然后判断是否存在.rar或者.zip,如果存在,就继续递归寻找下一个,如果不存在就往压缩包添加lpk.dll。

线程1:通过弱口令感染局域网内的共享文件夹,将病毒释放到共享文件夹中。
线程2:连接到控制端sbcq.f3322.org,获取当前系统信息(CPU型号,系统版本,上线时间,内存信息等)发送给病毒作者,然后就循环等待病毒作者的指令接收,判断info的类型,做出相应的操作。
线程3:连接控制端www.520123.xyz。具体功能同线程2。
线程4:连接控制端www.520520520.org:9426。具体功能同线程2。

流程图如下:

样本动作捕捉

运行样本,火绒剑捕捉样本行为动作:

设置注册表项:

创建进程操作:

文件增删查改操作:

网络收包发包操作:

下面是随机生成名字的子程序进程和har33.dll:

具体行为分析

查壳

首先,查壳,病毒upx加壳,手动esp定律或者upx -d脱壳后PEID看到病毒是由Microsoft Visual C++ 6.0编写。

studyPE查看导入表:

初次运行初始化服务

IDA Pro7.5载入样本文件,进入WinMain函数:

WinMain函数中是网络相关的函数,判断服务及注册表是否存在,并且母体病毒开始初始化。

sub_405A52()函数内部就是判断键值是否存在。就是判断是否创建了一个名为”Ghijkl Nopqrstu Wxy“的服务,如果创建了,就返回1,执行if当中的操作;如果没有创建,那么执行else当中的操作,创建服务。简言之,就是判断样本是否第一次运行。

下面分析else当中的sub_405B6E():

sub_405B6E()

1、在ADVAPI32.dll中加载函数,遍历文件。

2、根据时间随机生成数作为文件名进行拼接,然后拷贝到C:\Windows\目录下。

3、创建服务。

4、添加注册表项。

sub_40355B()

然后分析下面的sub_40355B():

上面的伪代码可以看到:母体通过字符串拼接执行cmd命令删除自身,设置高优先级。

以上代码,程序第一次运行,将自己拷贝到指定系统目录,创建服务,启动服务,删除自身。

若服务已被创建,则通过判断,第二次打开程序则直接打开服务。调用sub_40561A()。

再次运行sub_40561A()主函数

会先判断键值是否存在,如果存在的话就开启服务,进入服务回调继续分析。

sub_40561A()主函数内容如下:

记一次lpk劫持样本分析 -  0xNOPE
作为新程序的主程序,之前先做了服务初始化操作,主要分析下面的函数。

回调函数EnumFunc:

sub_4053A6()

sub_4053A6()函数主要作用的就是加载dll。
在sub_4053A6()函数中,检查注册表,打开hra33.dll,拷贝2个资源到hra33.dll。大致如下:

释放资源:

sub_4034E5()函数加载hra33.dll,该dll具有dll劫持功能。

下面分析一下创建的四个线程当中的具体操作。

线程1:

初始化一堆字符串,根据下面获取主机名以及网络连接的函数,IPC内置的一些弱口令。

弱口令攻击:

线程1的作用就是:通过弱口令感染局域网其他主机, 如果连接成功通过,通过共享目录将病毒传播出去, 利用 at 定时执行启动任务, 通过 admin$共享传播病毒。

线程234:

第二、三、四线程功能基本相同,区别是连接的地址不同。

就拿线程2来说:

该线程首先与sbcq.f3322.org控制端进行网络连接,如果连接成功继续往下,不然就返回。然后初始化socket套接字。

sub_4060F0()函数当中获取了一些系统内存cpu等信息,

之后又加载了hra33.dll,将收集到的系统相关信息发送到控制端,等待接收控制端发来的指令,当接收的数据>6时才开始进行swtich…case中进行匹配。

指令 > 6时:

当指令为0x10时,会从网络上下载恶意代码到临时的文件然后执行它。

当指令为0x12:
打开互斥体,防止多开带来的检测风险。根据系统时间随机生成文件名,初始化一些信息,设置优先级,更新病毒,如果下载成功就删除服务,注册表以及自身的程序。执行新的程序,退出本身。

当指令为0x14:
打开IE浏览器并弹框。

当指令 < 0x6时:
指令等于0x6:
和0x12执行一致,打开互斥体,防止多开带来的检测风险。根据系统时间随机生成文件名,初始化一些信息,设置优先级,更新病毒,如果下载成功就删除服务,注册表以及自身的程序。执行新的程序,退出本身。

当指令为0x2:

进行初始化socket

当指令为0x3:

sub_403280函数,里面仍然会做一些判断,继续分析各个函数,会发现这是一个发包的函数。

GET数据请求头:

GET请求数据包:

指令为0x4:
仍旧是初始化socket。

至此线程2分析结束。

总结一下,它获取系统信息,cpu信息,内存信息,将这些信息发往控制端,通过控制端发来的指令类型执行不同的操作。

第二个远程连接服务器地址sbcq.f3322.org

第三个远程连接服务器地址www.520123.xyz

第四个远程连接服务器地址被加密,"1NTUHRYRExYRExYREx3c0eQJChcRFUM=",解密后是www.520520520.org:9426

接着来分析分析劫持lpk.dll的hra33.dll。

hra33.dll:

Dllmain函数中分析,获取模块名字后判断病毒文件是否存在,如果存在,就在同目录下将内存数据写入到.TMP临时文件,并创建一个胡互斥体,检测同目录下是否存在lpk.dll,如果存在,加载lpk.dll到zip,rar文件,并且同目录下创建exe。如果没有被加载就释放dll文件。之后获取原lpk.dll,将其替换为自己的lpk.dll,实现lpk劫持。

sub_1000142B()当中是添加压缩包的操作:

利用rar的shell命令进行操作,先检查同路径有没有lpk.dll,如果没有,就以最大速度解压文件,将lpk.dll添加到文件夹中,然后再重新压缩文件,最后删除临时文件。

以上,就是hra33.dll当中的操作。

总结

手工查杀步骤或是工具查杀步骤或是查杀思路等。

1、使用PcHumter结束病毒程序

2、删除HKEY_LOCAL_MACHINE\system\CurrentControlset\services\Ghijkl Nopqrstu Wxy下注册表键;

3、结束服务:Ghijkl Nopqrstu Wxy,删除服务对应的exe文件。

4、删除C:\windows\system32\hra33.dll文件;

5、删除生成的lpk.dll文件。

BY:先知论坛

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年12月31日14:54:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  记一次lpk劫持样本分析 - 0xNOPE http://cn-sec.com/archives/710113.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: