使用 VISION-ProcMon 进行行为分析
在此示例中,我们正在分析从钓鱼电子邮件中提取的恶意 OneNote 文档,该钓鱼电子邮件链接到 2023 年 2 月最新的 QBOT 活动之一。在对此恶意文档进行行为分析时,分析师通常会建立一个实验室记录系统活动的工具,然后执行恶意活动以对其进行分析。使用 Microsoft sysinternals 中的 Procmon 工具,我们可以按需捕获受害计算机上运行的进程的所有活动。
如果我们启动捕获并执行恶意 OneNote 文档,我们将获得有关感染过程的详细信息。保存结果时,我们可以选择将结果保存为CSV文档。
导出完成后,我们可以启动 VISION-ProcMon 并输入要加载的文件的完整路径。
导出完成后,我们可以启动 VISION-ProcMon 并输入要加载的文件的完整路径。
我们可以看到ONENOTE进程启动了 mshta.exe 进程,这是一个合法的 Microsoft 进程,用于在 Web 浏览器之外执行 Web 内容。它可用于执行 JavaScript、VBScript 和其他兼容的 Web 技术。在本例中,我们可以看到,在该进程执行之后,创建了两个新进程:curl.exe 和 rundll32.exe,这是非常可疑的。在转向这些进程之前,我们可以检查 mshta.exe 进程与之交互的文件和注册表项。
首先,我们可以看到该进程读取了该恶意软件分析上下文中的Open.hta文件,该文件是执行的恶意 HTA。
接下来,我们可以见证恶意注册表项MP3Conv的创建。然后设置MP3ConvCfg值。在恶意软件分析的上下文中,恶意 HTA 会在此注册表项中保存编码的 JavaScript 函数,然后执行该函数。我们还可以看到配置后来被删除以清除轨迹。
让我们来看看curl.exe 进程,这是执行恶意脚本后的下一步。相关的命令行很有趣,因为它包含用于在伪装成图像的 C2 服务器上获取恶意 DLL 的命令。
最后,脚本通过rundll32.exe进程执行恶意DLL而结束。我们可以关注该流程并见证与执行相关的命令行。
结论
VISION-ProcMon 是一个帮助恶意软件分析师进行调查的工具。这意味着它必须与其他恶意软件分析工具(静态、动态等)结合使用。这也是通过视觉示例说明您的解释来完成恶意软件分析报告的好方法。您可以在这里找到该工具:
https ://github.com/forensicxlab/VISION-ProcMon
原文始发于微信公众号(Ots安全):VISION-ProcMon 可视化恶意软件分析工具
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论