利用NSIS的在野样本分析

admin 2024年10月18日09:32:02评论10 views字数 1490阅读4分58秒阅读模式
利用NSIS的在野样本分析
 全文共1083字,预计阅读时间10分钟
利用NSIS的在野样本分析

概述

NSIS(Nullsoft Scriptable Install System)是Windows平台下一个开源的可执行文件安装程序,由于其良好的FUD 特性,使其被恶意软件制作者广泛应用,以达到躲避杀软的目的,方便后续攻击的开展。本文便以一利用该打包器的在野样本作为例子,对该类恶意样本的特征进行分析和总结。

整体流程

利用NSIS的在野样本分析

细节刨析

shellcode_loader(NSIS)

利用NSIS的在野样本分析该Loader是一个NSIS格式的文件。NSIS(Nullsoft Scriptable Install System)是Windows平台下一个开源的可执行文件安装程序。
利用NSIS的在野样本分析
在下图中,可以看到该文件绝大部分的数据的熵值极高,也就意味该打包器会对其中将要被安装的可执行文件数据进行混淆或者加密。而恶意软件制造者正是利用NSIS这一特性,来达到隐藏恶意文件特征的目的,以绕过静态检测。
利用NSIS的在野样本分析
将该样本解压,通过下图可以看到,该NSIS打包器,由以下四个文件组成。
利用NSIS的在野样本分析
·[NSIS].nsi
通过该脚本文件,可以得知目标文件会被安装在"$TEMP"目录下,同时会用到该文件下其余的三个文件,并且可以得知"cwlkewfbz.exe"运行时,需要将"pgkayd.aq"作为命令行参数传入,才能使可执行文件正常运行。
利用NSIS的在野样本分析
利用NSIS的在野样本分析
·djdqvq.sra & pgkayd.aq
这两个文件并没有一个明确的类型,应该是运行中所需的资源文件,会在运行中使用或解密后使用。
·cwlkewfbz.exe
在该文件的导入表中,发现了一些敏感API。
利用NSIS的在野样本分析
从下图中可知,VirtualAlloc仅被一个FUNC交叉引用。
利用NSIS的在野样本分析
再来看这个调用VirtualAlloc的FUNC的CFG,清晰明了,几个判断,再加上一个loop填充内存,很像释放shellcode或下一阶段样本的准备工作。
利用NSIS的在野样本分析
对于其他细枝末节,此处不再赘述,直接关注内存填充和解密部分(VirtualAlloc -> memcpy -> xor)。
利用NSIS的在野样本分析
经以上操作,得到解密后的shellcode,并通过call执行。
利用NSIS的在野样本分析

pe_loader

在获取到的shellcode中,可以看到与刚刚分析的"cwlkewfbz.exe"同级目录下的另一个文件"djdqvq.sra"。
利用NSIS的在野样本分析
随后看到了根据API_hash来获取所需要的API。
利用NSIS的在野样本分析
运行中,其会判断Temp目录下是否存在"djdqvq.sra",若不存在则会直接退出。若存在,其会将"djdqvq.sra"读入内存中。
利用NSIS的在野样本分析
利用NSIS的在野样本分析
经过一系列解密操作后,得到一个PE文件。
利用NSIS的在野样本分析
利用NSIS的在野样本分析

AgentTesla_loader

利用NSIS的在野样本分析
在这个文件的import表中,发现了"CLRCreateInstance",该API被用于调用文件中的资源文件。
利用NSIS的在野样本分析
正如我们预想的那样,该资源文件中存在另一个PE文件,是一个.NET文件。
利用NSIS的在野样本分析
利用NSIS的在野样本分析

AgentTesla

由于该.NET样本带有混淆。为了加快分析,我们便不花费大量经历在静态分析上,将更多的经历放在行为、流量和内存上。

通过抓包我们发现,该样本有请求yendex邮箱的相关行为,并且可以确定其目的端口为587。
利用NSIS的在野样本分析
在内存中我们又找到了更为精确的邮箱信息"[email protected]"
利用NSIS的在野样本分析
通过这些信息,我们确定了该样本为AgentTesla的在野样本。这是一个非常成熟的窃密软件,网上有很多关于该样本的分析报告,本文便不再过多赘述其实现细节。
利用NSIS的在野样本分析
通过兰眼沙箱检测,进一步确定了这是一个窃密木马,其主要行为包括键盘记录器以及窃取用户浏览器信息等,同时沙箱也捕获了该样本利用邮件进行通信的行为。
利用NSIS的在野样本分析
利用NSIS的在野样本分析
利用NSIS的在野样本分析
-End-
利用NSIS的在野样本分析
利用NSIS的在野样本分析
利用NSIS的在野样本分析

原文始发于微信公众号(兰云银河实验室):利用NSIS的在野样本分析

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月18日09:32:02
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   利用NSIS的在野样本分析https://cn-sec.com/archives/1883483.html

发表评论

匿名网友 填写信息