初步研判
SHA256:b51849fb724b36a991f8adddcddb8688e6c4125d869a69b4e14739bb3358686e
微步云沙箱中已判黑
行为分析
进程行为
首先是msi本身进程树分支就很多了,还有一个额外的进程在执行后被创建,猜测为释放的文件执行。
独立进程链,猜测为上方释放
文件行为
释放了很多文件,我们主要关注可执行的文件
注册表行为
可以看到qq音乐的图标,创建了服务用于权限维持
网络行为
这是qq音乐那一条链的网络连接,msi链未检出
详细分析
主进程
msi使用Orca做分析,file字段文件很多,主要是一个用于安装Chrome的白文件,和检测网络连接的程序集,先来看看HttpdownloadUI.exe
文件本身是白文件,那应该是有黑dll了
我们根据载入看看是否有dll劫持的情况,可以看到,载入了同目录下的文件
只有一个DuiLib.dll没有数字签名,我们深入看看
我们知道他会调用cmd保存网络信息,我们查看导入表,可以发现其导入了如下函数
我们在此函数下断,然后查看堆栈可以发现,内部创建了一个pe文件
这个pe被对齐了内存,不过添加了数据,让其显示为upx加壳的未对齐的文件,我们删除部分字符,勉强可以查看,入口点为10004c00
先是进行了提权
之后会有反调试和反虚拟机
核心函数先调用CreateProcess执行了如下指令,获取网络信息
C:Windowssystem32cmd.exe /c netsh interface show interface
执行获取了网卡信息后又拼接出了如下指令,用来设置ip,但是好像没什么意义,后续发现这就是C:ProgramDataLU9ji.xml中的内容
pushd interface ip set address "Ethernet0" static 1.0.0.2 255.0.0.0
然后是
/c netsh interface ip show config | netsh -f C:ProgramDataLU9ji.xml
把信息导出了,后续又使用deleteFileW删除了文件
后续以上述创建xml的拼接方式创建了文件夹,结构有点像白加黑存放的位置
之后就是释放文件了
不过释放的文件多了两个
我们继续跟就会发现把他们两个拼接在一起了,形成了QQMusicCommon.dll,这个应该就是黑dll了
/c copy /b C:ProgramDataf7Y768eK1X~f2p+C:ProgramDataf7Y768eK1X~f2w C:ProgramDataf7Y768eK1X~f2QQMusicCommon.dll
又创建了一个快捷方式指向qq音乐
然后调用mmc的ExecuteShellCommand执行exe
然后删除了快捷方式以及一些拼接前的文件
核心文件就结束了
然后我们再看看白加黑文件
白加黑
我们单独对文件进行行为分析,可以看到有一个外连
非常得可疑啊
这里去动调,也是创建内存释放了一个类似UPX的文件,这里怎么获取就和主程序类似了
首先是给自己提权再次执行
然后执行如下指令,执行方式与主程序一致
第二个
第三个
最后于c2通信
C2
8.217.125.184
看雪ID:aaa4dr
https://bbs.kanxue.com/user-home-984655.htm
#
原文始发于微信公众号(看雪学苑):一个恶意样本分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论