【远控木马】银狐组织最新木马样本-分析
2023-11-19 18:1:25
Author: 看雪学苑(查看原文)
阅读量:19
收藏
文件名: 2023财会人员薪资补贴调整新政策所需材料.exe
MD5: 20fbd9ac1097d4da587f0e353bbecb80
SHA256: d7bc758160ca6ddaa7ac16ff2a1c48a8481ed0cde96baa9d9fe6608b34f076c6样本主要行为:
从指定链接http://27,124,40,155:8000/j-1 下载文件并执行;该文件从指定的URL处下载多个载荷文件并执行;
文件信息:
MD5:87c42dee312435c37b095e9a81c9a92a
SHA-1:89e1ac9649ab6439d1e8804b6824a3ec5664bda7
SHA-256:bf3235239dc43b72dc1a0496f507f1ba8545d0fc4c7651d2d55107e8ec76c7ec样本主要行为:
详细分析:
程序运行后会检测360程序,有360程序则会弹框,并退出程序执行。弹框内容如下:
下载文件
从指定的url处分别下载一个exe,一个.dat,和edge.jpg,edge.xml;其中exe和.dat使用同一个随机名称;所有文件保存到\Users\用户\AppData\Roaming目录下。最终的下载链接如下:
随机名称的exe实际为tu_rt.exe; 此程序为白文件实际是NetSarang系列工具更新程序;但已被病毒利用,加载同一目录下的的同名.dat文件。.dat是被zip格式加密压缩的文件;逆向tu_rt.exe能看到密码。被解压出的shellcode启动后会读取并修复当前目录下的.xml文件的前4个字节,而修复后的内容实际上是一个PE结构的可执行程序。修复后的PE可执行程序运行后,会向系统中添加计划任务用以定期启动自动执行。同时,程序还会解密同目录下的.png及.jpg文件,这次解压出的程序为真正的远控程序。持续驻留
木马会添加一个伪装为Onedrive、Microsoft Edge等名称的计划任务:对jpg的解密
sub_100019A0即为解密函数;可以用c++调用shellcode快速解密;
sub_10002630为查找调用dll的Edge;DLL文件分析
设置隐藏文件
反分析检测
下载文件并释放到指定目录,并设置隐藏
监控按键
设置持久化
添加服务
更新C2后门地址
获取QQ号
其他功能
此外,该木马具有常见远控的所有功能,如:截图,收集系统信息等其他。看雪ID:安全裤
https://bbs.kanxue.com/user-home-595341.htm
*本文为看雪论坛优秀文章,由 安全裤 原创,转载请注明来自看雪社区
文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458528787&idx=1&sn=947b0b7f9ade1cbf249f29ee345237e3&chksm=b18d1c9986fa958f377b1b14f33c060ed7495b3d2e9cb7b33f5c4d41686093b31fed10be1735&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh