招新小广告CTF组诚招re、crypto、pwn、misc、合约方向的师傅,长期招新IOT+Car+工控+样本分析多个组招人有意向的师傅请联系邮箱 [email protected](带上简历和想加入的小组)
样本来源
VT2 样本1X_病毒样本 分享&分析区_安全区 卡饭论坛 - 互助分享 - 大气谦和!
25-3-7c2存活
文件分析
SHA256:ea20ce64438bac7806740bc986480b01aa1082721b2b9fa958ec42b5a73b7551
msi类型的文件
行为分析
因为是msi文件,断链比较简单,所以行为分析就走走形式
进程行为
文件行为
注册表行为
未发现明显维权行为
网络行为
未检出
详细分析
我们使用Orca进程初步的分析
先看下file字段,可以看到有一些jpg文件,不排除内存shellcode的可能性,先保留。主要的程序是ChromeSetup.exe和SystemProcess12.exe,ChromeSetup.exe是白文件用于安装浏览器做伪装,此时,可疑文件就锁定在了SystemProcess12.exe。不着急,先看看哪里会调用这个程序。
在Property字段中,可疑程序被调用
shellcode1分析
我们此时可以基本确定主题是个下载器+加载器,现在单独把shellcode丢进沙箱中看看情况,可以看到是个后门
可以看到shellcode在开头对下方数据进行了解密操作
我们直接看看调用的PE
shellcode1_1
我们再次看看文件,导出函数只有一个,所以我们只需要看dllmain和Shellex了(之后发现Shellex在dllmain中被调用,也和上面跳转entryPoint对应,并不是直接调用导出函数)查询后知道名字是Gh0stRAT的特征
检测通信软件
我们再看看下载的两个shellcode
shellcode1_1_1
结构还是一样,自解密
是个dll文件,在dllmain中执行唯一的导出函数
比较短,调用RPC远程连接
shellcode1_1_2
前面获取pe的步骤同上
获取剪切板信息、时间信息等内容,并记录
IOC
主要
27.124.13.32其他
206.238.52.15154.82.85.13143.92.61.28api.skyqpe.cobaizhu.orgwonobba.combaizhu.or14.128.50.2156.251.17.6156.251.17.10243.226.125.111154.91.90.49206.119.124.32206.238.199.3154.215.0.47xiaobaituzi.com47.239.134.2345.192.209.196137.220.224.113206.238.220.58154.91.83.368.218.113.210118.107.46.8227.124.10.18288.zbj888.top206.238.552.15154.82.85.18.218.233.158143.92.61.2api.skyqpe.c206.238.179.93156.234.0.111121.127.231.137原文始发于微信公众号(ChaMd5安全团队):携带Gh0st远控的Chrome-msi安装包
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论