本篇文章共3000字,完全阅读全篇约8分钟,州弟学安全,只学有用的知识
0x01 前言
在上一篇文章中,文末我们提到了一则APT攻击事件↓
事件起因是因为,我一个在客户现场做项目的朋友,某天在排查梳理资产时,在客户资产设备中,发现存在木马,且木马隐蔽性较强,相互关联
当时这事我也没放在心上,毕竟这么大的甲方,防护能力这么差,我以为在开玩笑
没过几天,真给我把分析报告发来了,这里我们脱敏后给大家分享一下,因为是报告而不是出于教学学习目的,所以报告不是很详细,大家有相关学习意愿,可以下载到本地虚拟机或沙箱自行分析
* 文件仅供自行学习,请勿非法传播,本人不负任何法律责任
* 如您认为文章有用,麻烦点个关注点赞并转发共同学习
0x02 分析步骤
因为我们认为这个马会有反沙箱机制,但是没想到在沙箱跑出来了,目前腾讯电脑管家和火绒杀软都能检测出来,估计不是最新马,他们出具的报告仅为提交甲方交差,有分析过程和外联IP及MD5即可
因附件下载链接可能随时变动,需关注州弟学安全后,发送"银狐"获取下载链接
文件一:IJOiEK9i.exe
文件名 |
IJOiEK9i.exe |
大小 |
1.6MB |
类型 |
exe |
来源 |
应急 |
编译语言/编译器 |
/ |
壳信息 |
无壳 |
md5信息 |
fcbe8fb8a2a37f87e66c729afd5f36b7 |
sha1信息 |
40412dcc7e9fcb8ec7a2ed5221b1e3d475ba5d79 |
sha256信息 |
1a9b031e4a48c6284a8753b23aacfe4d3ad622b51275229d09086113a993e785 |
magic信息 |
PE32 executable (GUI) Intel 80386, for MS Windows |
威胁情报中心
第一个文件写的是:样本不完整,无法进行分析,其实我对这个持怀疑态度的,因为技术分析用的工具是DIE进行查壳的,出具报告中显示无壳,但是微步沙箱显示的是VMP加壳,我猜测大概率有可能DIE没有查出来
文件二:17di5TUx.exe
文件名 |
17di5TUx.exe |
大小 |
671KB |
类型 |
exe |
来源 |
应急 |
编译语言/编译器 |
/ |
壳信息 |
无壳 |
md5信息 |
652d60218e00c1dd817050d6a217c9ab |
sha1信息 |
dbc7e8cd5d776c1ccebbe67b22d885a838e44bdb |
sha256信息 |
722b2234fba53e0466d99826cad98f20799cebe2ecee276d5b43f8e1cb709772 |
magic信息 |
PE32 executable (GUI) Intel 80386, for MS Windows |
威胁情报中心
程序运行流程
静态分析
程序逻辑简单,执行一系列复杂的异或操作,并操作某些内存地址修改固定值,最后调用sub_140421E3D函数
sub_140421E3D函数应是某种加密/解密/混淆数据或修改自身代码有关的函数,通常用于处理动态加载/解密过程。
总结
该样本功能逻辑为解密/混淆代码,除此之外无其他功能。
文件三:lRDszi.rar
文件名 |
lRDszi.rar |
大小 |
|
类型 |
/ |
来源 |
应急 |
编译语言/编译器 |
/ |
壳信息 |
无壳 |
md5信息 |
652d60218e00c1dd817050d6a217c9ab |
sha1信息 |
dbc7e8cd5d776c1ccebbe67b22d885a838e44bdb |
sha256信息 |
722b2234fba53e0466d99826cad98f20799cebe2ecee276d5b43f8e1cb709772 |
magic信息 |
PE32 executable (GUI) Intel 80386, for MSWindows |
威胁情报中心
程序运行流程
网络连接
释放文件
释放较多的temp文件,参考性不大。
静态分析
文件均为隐藏属性
1RDszi.exe
该程序为加载器,主要作用是通过命令行参数或当前目录中查找 tbcore3.dll 或 tbcore3U.dll,加载 DLL 并调用其内部的 MyUnregisterServer 函数来执行某种反注册操作。
加载 tbcore3U.dll 后。此时,它会读取 utils.vcxproj 和 log.src 并解密出其他代码和后门模块。
会检测一些文件的创建时间等信息用于标识后门在该主机上建立的时间,所以会先删除已存在的冲突文件。并且在执行过程中还会检测已存在的窗口的标题,遇到逆向分析工具或其它检测工具时会终止运行:
代码中包含通过设置注册表 ConsentPromptBehaviorAdmin 绕过 UAC 、检测安全软件等操作。
查看TokenElevation 属性值确认权限并尝试关闭 UAC
最后执行后门模块 Edge 导出函数。
该后门模块根据多个标志位执行不同的操作:
这些标志包括禁用微软自带的杀毒软件,从C2下载新的文件并执行,键盘窃密等,部分标志解析列举如下:
Disable_sleep_flag用于禁用休眠,检测 360 进程并创建标志文件 xxxx.ini,keylog_flag 标志用于进行键盘记录:
connect_flag标志用于测试端口的连接,ip_flag 标志用于确认是否根据ip.txt 内容替换 C2 地址(40.126.35.80):
若前面连接中断并退出循环,则还有备用选项SoftwareMicrosoftMMSNG,用于在 7 天后开启新的后门:
备用后门中字符串“REPLACE ME TO BACKDOOR URL” 表明该后门工具的分发化和成熟化,与前面的后门一样,使用同一套解密算法并调用相同的导出函数:
总结
该样本通过分析其功能发现具有检测沙箱和杀毒软件的行为,以及关闭杀软、对自身实现持久化、最终安装后门模块实现控制等行为。其特征符合“银狐”变种木马。
IOCS
URL/IP:
40.126.35.80
md5:
fcbe8fb8a2a37f87e66c729afd5f36b7
652d60218e00c1dd817050d6a217c9ab
6e648db5c4ec693b2b0e5673b9cb876e
404bdc2f909a8d9543cc26320364d548
ce14b18a6919d56d8481119465b0dbdb
7b6586e21fbc8f2f0bb784a1a8fc65b4
处置建议
由于分析样本得出其为“银狐”变种木马,下面给出银狐病毒处置清理建议。
1. 清理文件
•删除路径 C:UsersInstallUP.ini 文件,该文件可能存储了后门模块的 IP 和端口信息。
•删除 C:UsersTTruespanl.sys 驱动文件,这是用于关闭杀毒软件的恶意驱动程序。
•检查并删除以下隐藏文件及其相关文件夹:
•C:UsersPACqpC.exe
•C:Usershccutils.dll
•C:Usersinstall.exe
•C:Usersa.gif
•C:Usersb.gif
•C:Usersc.gif
•C:Usersd.gif
2. 清理注册表
•删除恶意软件添加的启动项:
•HKLMSoftwareMicrosoftWindowsCurrentVersionRunTTruespanl
UAC 相关注册表键值:
HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemConsentPromptBehaviorAdmin
•检查并删除由木马写入的白名单项:
DefenderExclusionsPathsC:
•HKLMSoftwareMicrosoftWindows DefenderExclusionsPathsC:ProgramData
DefenderExclusionsPathsC:Users
DefenderExclusionsPathsC:Program Files (x86)
3. 删除计划任务
•使用 Task Scheduler 工具,删除与木马相关的计划任务,特别是以下路径下创建的任务:
•C:Users 目录下的可疑任务
•删除与以下任务相关的 XML 文件配置:
•检查和删除可疑的计划任务配置,确保没有恶意任务自动启动。
4. 关闭未授权进程
•使用任务管理器或命令行工具终止以下进程(若存在):
•PACqpC.exe
•install.exe
•TTruespanl.sys
•确认系统中未运行与木马相关的进程,如存在,请强制终止并删除其文件。
5. 检查并清理网络设置
•检查并删除防火墙或代理服务器设置中可能被木马篡改的规则,防止其继续下载其他恶意文件。
•封禁外部 C&C 服务器的访问,尤其是以下 URL:
•https://197oss.oss-cn-beijing.aliyuncs.com/s.dat
•https://197oss.oss-cn-beijing.aliyuncs.com/s.jpg
•https://m39m.oss-cn-hangzhou.aliyuncs.com/drops.jpg
•https://m39m.oss-cn-hangzhou.aliyuncs.com/f.dat
6. 清理持久化机制
•检查系统中是否存在恶意软件尝试通过注册表、计划任务或服务等方式进行持久化,删除一切可疑的自启动项。
•确保所有系统服务正常运行,检查服务列表中是否有不明服务启动项。
7. 驱动和内存清理
•删除或隔离恶意驱动文件,重点关注以下路径和文件:
•C:UsersTTruespanl.sys
•C:Usershwperf.sys
•使用驱动管理工具卸载与木马相关的驱动程序,确保其无法在系统中运行。
8. 网络流量监控
•监控并阻止可疑的网络流量,特别是与已知 C&C 服务器(例如 40.126.35.80)的通信。
•检查代理服务器或防火墙配置,确保没有恶意添加的网络规则
文末总结
"lRDszi.rar"文件内容经过分析为“银狐”变种后门木马,存在关闭受陷主机安全软件、反调试、持久化、后门进程等恶意功能。
“IJOiEK9i.rar、17di5TUx.rar”两个程序功能不完整,其功能存在一些解密/异或的函数。
0x03 结语
这些程序并不是单独运行或种马,而是互相维持,分工不同,主程序和其它加解密程序互相工作,至于木马是什么时候种上的,又是怎么上线的不得而知,所以提高网络安全意识不仅仅是口号,而是需要行动
本次感谢提供素材的大哥和进行分析的技术手子,以及微步和安恒云沙箱的分析
原文始发于微信公众号(州弟学安全):木马分析|一次银狐变种木马的逆向分析报告+附件
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论