msi打包的银狐样本分析

admin 2025年3月17日09:15:23评论9 views字数 1175阅读3分55秒阅读模式

招新小广告CTF组诚招re、crypto、pwn、misc、合约方向的师傅,长期招新IOT+Car+工控+样本分析多个组招人有意向的师傅请联系邮箱 [email protected](带上简历和想加入的小组)

样本来源

VT3 应该是银狐_病毒样本 分享&分析区_安全区 卡饭论坛 - 互助分享 - 大气谦和!(https://bbs.kafan.cn/thread-2279944-1-1.html)

感谢分享~

初步研判

在卡饭上找样本学习,看到微步未检出c2,进一步看看

msi打包的银狐样本分析
SHA256:6097eea67c17b7036081790679cee5da58366345f8709c82a08fd5bdeed6a46e

文件类型为MSI

msi打包的银狐样本分析
我们在vt上可疑找到UCore.dll可能有问题

msi打包的银狐样本分析
MSI文件释放文件很正常,但是这个目录比较特殊,很多银狐的样本都喜欢往%APPDATA%目录放文件,可疑

msi打包的银狐样本分析

行为分析

进程行为

无子进程

msi打包的银狐样本分析
在我们运行msi程序后,会弹出setup.exe。应该是用于伪装的白文件,带签名

msi打包的银狐样本分析
msi打包的银狐样本分析

文件行为

释放文件目前可知的如下所示

msi打包的银狐样本分析

注册表行为

未发现维权行为

网络行为

msi打包的银狐样本分析
不过单独执行APPDATA目录下的uc.exe可以找到链接行为

msi打包的银狐样本分析

详细分析

MSI文件之前分析过,同样按照之前的步骤分析,可以看到调用LaunchApp,我我们根据launchApp进行下一步

msi打包的银狐样本分析
找到launchAPP的路径,可以看到调用了uc.exe,这个文件是白的

msi打包的银狐样本分析
我们在初步研判中了解到11UCore.dll是可疑文件,我们可以给这个dll改个文件名,看看uc.exe启动会不会报错

msi打包的银狐样本分析
所以可以确定,11UCore.dll为黑

该dll导出函数一共有4个

msi打包的银狐样本分析
我们先看dllmain,利用APC注入当前线程,导出函数中除run外内容都与dllmain内容相同

msi打包的银狐样本分析
我们经过动态调试,得出一下行为,使用inlinehook跳转执行

msi打包的银狐样本分析
然后再core函数中解密字符串获取WINAPI,行为先是获取了ProgramData下的11UCore.cpy文件,该文件属于加密数据

msi打包的银狐样本分析
msi打包的银狐样本分析
代码中获取该文件后,使用异或密钥mysecretkey解密文件

msi打包的银狐样本分析
我们把文件解密出来,又是一个dll,无导出函数,只有entry

msi打包的银狐样本分析
msi打包的银狐样本分析
这里调试比较麻烦,会检测当前进程名

msi打包的银狐样本分析
在后续中使用com组件调用计划任务

msi打包的银狐样本分析
最后创建如图所示的计划任务,用于启动uc.exe

msi打包的银狐样本分析
之后启动线程使用rc4解密update.cab,其key为winos,确定为银狐样本

msi打包的银狐样本分析
我们使用脚本解密出dll

msi打包的银狐样本分析
一进来就可以看到银狐的特征

msi打包的银狐样本分析
msi打包的银狐样本分析
我们根据如下特征可以取出c2

msi打包的银狐样本分析
把dll单独导入微步云沙箱中也可以看到有针对银狐的检出

msi打包的银狐样本分析

IOC

52.128.225.124:555552.128.225.126:888852.128.225.126:7777

c2详细内容可在微步x情报社区查看

msi打包的银狐样本分析
结束

原文始发于微信公众号(ChaMd5安全团队):msi打包的银狐样本分析

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月17日09:15:23
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   msi打包的银狐样本分析https://cn-sec.com/archives/3848171.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息