由于传播、利用本公众号"零漏安全"所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号"零漏安全"及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉谢谢!
记一次针对钓鱼木马的溯源
经过几位师傅的帮忙我们进行了对钓鱼木马的分析,及其溯源
1、针对钓鱼木马主要有以下分析步骤:
威胁情报、AV引擎、行为异常、静态分析、深度解析、主机行为、网络行为、释放文件、运行截图
1.1病毒沙箱分析:
威胁情报
AV引擎
行为异常
静态分析
深度解析
主机行为
网络行为
释放文件
运行截图
1.2人工分析:
解压木马压缩包,双击运行木马exe文件,发现无法运行。
发现其存在反沙箱机制,先判断当前电脑环境是否为虚拟机再决定是否运行,使用x32dbg对木马程序进行反编译查看。
发现在0x77a70000内存地址中调用ntdll.dll库中的wine_get_version函数判断是否运行在Wine的虚拟环境中,如果是则不继续运行,退出程序。
知道其判断逻辑后,下断点进行调试,绕过判断机制,成功将木马在虚拟机中运行。
Exe木马运行后会对自身进程进行隐藏,使受害者无法在任务管理器中发现它。
通过监视器监测电脑运行进程,捕捉到PID为10600和10304的进程为木马进程。
在Process监测中查找对应PID进程,发现木马通过将进程名进行置空隐藏,以此逃脱安全监测以及人工排查。
然后分配可读、可写、可执行内存空间并将自己进程内存优先级提升,多线程执行。
在Process监测分析进程过程中,发现木马向27.124.46.211:1445地址发起请求。后续将对此ip地址进行溯源。
木马运行过程中会获取电脑环境变量等系统信息
使用x32dbg附加木马程序进行反调试,可发现其内存中存在大量调取系统本地可信程序操作。
如果系统中存在其内存中的可信程序,则利用其进行DLL反射加载,绕过杀毒软件监测。
2、针对被攻击的电脑主机主要有以下分析步骤:
恶意程序、恶意网络连接、恶意账户行为、恶意启动信息、异常登录行为、痕迹擦除、暴力破解等日志分析结果
根据提供的信息,从被攻击的电脑主机上收集系统日志信息,进行日志分析排查电脑是否存在异常情况:
排查电脑所安装的软件情况,排查是否存在恶意软件程序。未发现可疑可疑的恶意程序,均为系统自带软件以及用户所安装的正常软件。
排查电脑终端的端口连接情况,未发现可疑对外连接及监听,均为本地监听端口以及用户所使用的正常软件连接。
排查电脑所运行的进程信息,未发现可疑的恶意进程,均为系统进程已经用户使用的软件程序进程。
排查系统中存在的账号,排查是否存在攻击者新建的账号。未发现可疑账号,只有系统默认的administrator和guest账号。
排查系统计划任务,排查是否存在攻击者新增的定时任务或自启动恶意程序。未发现异常计划任务及启动项,均为系统正常软件的启动项。
排查系统日志是否存在登录账号密码被暴力破解的痕迹,日志中未发现账号有被暴力破解的迹象。
排查系统日志是否存在攻击者攻击记录痕迹被擦除的痕迹,日志中未发现攻击记录痕迹被擦除的迹象。
排查用户登录信息,在分析系统日志过程中发现,曾经登录过系统的IP地址中存在5个异常的IP:185.81.68.65、194.26.135.75、85.209.11.62、213.226.123.100、14.212.93.156。
在日志中排查这些IP是否曾经使用RDP协议远程登录过此电脑,但发现RDP协议的登录记录为空,且关联上述未排查到攻击者暴力破解的痕迹,说明攻击者并非通过RDP协议远程登录过此电脑。
结合登录源IP的标注为SERVER,也进一步证明攻击者并非通过RDP远程协议登录电脑,而是通过某个特定程序服务对电脑进行的控制。初步推断为下载木马文件后,原始木马文件向服务端请求远控程序,并自动下载运行,导致攻击者可通过远控程序控制电脑。
对以上发现的攻击IP简单分析排查,可发现185.81.68.65、194.26.135.75、85.209.11.62、213.226.123.100均为攻击者在俄罗斯的代理攻击IP,其中213.226.123.100具有C2远程控制木马特征,判断攻击者原始木马请求的服务端远控程序由此IP下发。14.212.93.156为佛山电信IP,需排查是否用户自身操作可能。
后续将对木马中提取的攻击IP和系统日志中发现的攻击IP进行分析溯源。
长按二维码识别关注
原文始发于微信公众号(芸云虾扯蛋):记一次钓鱼木马的分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论