?病毒樣本下載來源于i春秋逆向版主Crazyman_Army主題帖《記一次蔓靈花APT組織針對巴基斯坦定向的樣本分析》，樣本鏈接：https://bbs.ichunqiu.com/thread-50002-1-1.html

創(chuàng)新互聯(lián)專注于茌平網(wǎng)站建設(shè)服務(wù)及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗。 熱誠為您提供茌平營銷型網(wǎng)站建設(shè)，茌平網(wǎng)站制作、茌平網(wǎng)頁設(shè)計、茌平網(wǎng)站官網(wǎng)定制、小程序開發(fā)服務(wù)，打造茌平網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供茌平網(wǎng)站排名全網(wǎng)營銷落地服務(wù)。

?對于個人而言，看過APT分析報告，但是很少逆向相關(guān)得惡意代碼，畢竟樣本少，既然發(fā)現(xiàn)了一枚，走過路過不能錯過。

??APT（Advanced Persistent Threat）是指高級持續(xù)性威脅，特別有針對性得方式。

?個人對于APT的理解?：APT是綜合了社會工程學(xué)，人性弱點，系統(tǒng)漏洞等等，多方因素協(xié)調(diào)惡意代碼發(fā)起Attack，長期潛伏，時效長達(dá)半年或者更久，收集大量的數(shù)據(jù)為attack做準(zhǔn)備。有組織，有紀(jì)律，是一名合格的"間諜"，隱蔽性很強（代碼的隱蔽性），運行方式獨特，難以查殺。
??
線上惡意代碼分析如下：

????????????????????圖片一：線上分析
?通過在線分析，與原貼中殺毒識別的個數(shù)略有差異，這是一個被明確且已能被防范的樣本。
???
手動分析如下：
1、Exinfo PE查看文件信息，如下所示：

????????????????????圖片二：樣本信息
通過Exinfo PE觀察，樣本沒有加殼，而且是c++編寫的，是圖形用戶界面程序（GUI）。?
??
2、IDA靜態(tài)分析：

????????????????????圖片三：GUI流程

????????????????????圖片四：過程化流程
下面在IDA中具體的分析一下代碼，先看圖片三中的GUI流程，如下所示：

????????????????????圖片五：GUI代碼分析
?通過ShowWindow第二個參數(shù)填入SW_HIDE數(shù)值（也就是0），意味著創(chuàng)建了一個隱藏窗口，調(diào)用sub_401330去執(zhí)行惡意代碼。
?進入函數(shù)sub_401330之后，發(fā)現(xiàn)了大量的數(shù)據(jù)的初始化及循環(huán)解密字符串的環(huán)節(jié)，如下所示：

????????????????????圖片六：數(shù)據(jù)初始化

????????????????????圖片七：字符串解密
?根據(jù)個人習(xí)慣，遇到著這情況就要動態(tài)調(diào)試，單純的靠靜態(tài)去分析有些麻煩，下面通過動態(tài)分析去還原這些數(shù)據(jù)的操作。
???
3、OD動態(tài)調(diào)試：
?主要分析sub_401330函數(shù)都干了那些事情，首先初始化了一堆數(shù)據(jù)，如圖片六所示，然后又結(jié)束進程？句柄參數(shù)還是NULL，如下所示：

????????????????????圖片八：TerminateProcess
?句柄為空，返回值會是INVALID_HANDLE無效的句柄值，接下來通過字符串運算獲取了注冊表（自啟動路徑），如下所示：

????????????????????圖片九：獲取自啟動路徑
接下來拷貝了獲取的字符串，如下所示：

????????????????????圖片十：拷貝
運算字符串獲取msdtcv，如下所示：

????????????????????圖片十一：msdtcv
拼接成msdtcv.exe，如下所示：

????????????????????圖片十二：msdtcv.exe
?這時候已經(jīng)拼接成一個后綴為.exe的程序了，按照一般的套路基本都是查找資源，鎖定資源釋放到某一個文件夾下，運行釋放的可執(zhí)行代碼，終止當(dāng)前進程，其實這個套路也是，只不過是拷貝了自己，如下所示：

????????????????????圖片十三：_mkdir
先在C盤下創(chuàng)建了一個文件夾，應(yīng)該是準(zhǔn)備來文件夾下拷貝或者寫入資源，如下所示：

????????????????????圖片十四：字符串拼接
?如上圖用了rep movs 匯編指令進行了文件夾路徑與msdtcv.exe拼接，高級語言的就是strcat函數(shù)，既然路徑野拼接出來了，接下來理論是要該路徑的程序落實，獲取了當(dāng)前程序運行路徑，接著獲取了Open字符串，如下所示：

????????????????????圖片十五：Open
?感覺前奏應(yīng)該快完了，可是發(fā)現(xiàn)了一個新函數(shù)，不用說應(yīng)該前奏還沒結(jié)束，繼續(xù)跟如新函數(shù)一探究竟，如下所示：

????????????????????圖片十六：SHGetFolderPathA
?官方給出的函數(shù)解釋Deprecated. Gets the path of a folder identified by a CSIDL value.，獲取CSIDL路徑，這個函數(shù)已廢棄。繼續(xù)接著看，如下所示：

????????????????????圖片十七：cmd命令
?看到了上面字符串格式：copy "" "" 拷貝當(dāng)前數(shù)據(jù)到c:\intel\msdtcv.exe，與猜測的步驟吻合，確實要拷貝了，既然cmd無非那幾個函數(shù)可以作為參數(shù)執(zhí)行cmd指令WinExec、ShellExecute、CreateProcess等API來實現(xiàn)，樣本中用到了ShellExecute與CreateProcess，繼續(xù)分析，如下圖所示：

????????????????????圖片十八：reg cmd命令
?利用cmd進行自啟動，這個函數(shù)運算拼接獲取了這些即將會被用到的字符串，向下繼續(xù)分析，碰見了函數(shù)如下：

????????????????????圖片十九：sub_401F00函數(shù)
對于數(shù)據(jù)則很簡單，有編程基礎(chǔ)的人沒有一點難度，貼上一張IDA轉(zhuǎn)成C之后的圖：

????????????????????圖片二十：Reg API
打開及檢索AppId鍵值，如果存在則寫入路徑c:\intel\msdtcv.exe，如下所示：


????????????????????圖片二十一：設(shè)置成功

?為什么要在Environment下的AppID中設(shè)置呢？HKEY_CURRENT_USER根鍵中的信息的修改都會導(dǎo)致對HKEY_USERS.Default中子鍵信息的修改，修改當(dāng)前用戶環(huán)境，AppId設(shè)置為運行路徑，后面會使用cmd的命令，調(diào)用%AppId%環(huán)境變量啟動且退出，如下所示：

這種方式相對于直接調(diào)用敏感的API來說很聰明，接著又開了注冊表，如下所示：

????????????????????圖片二十二：RegOpenKeyEx
?通過觀察參數(shù)，我們就可以確定這是對自啟動鍵值進行相關(guān)操作，下面調(diào)用了CreateThread函數(shù)，如下圖所示：

????????????????????圖片二十三：CreateThread
重點分析一下上圖中標(biāo)紅處的回調(diào)函數(shù)，如下所示：

????????????????????圖片二十四：回調(diào)函數(shù)分析
?意圖很明顯了，樣本字符串的規(guī)律來看，這個樣本只要是對字符串賦值，意味著后面一定會有運算解密，果真如下所示：

????????????????????圖片二十五：解密代碼
?上面一段代碼動態(tài)解密出來的字符串是ComSpec，其實也就是%ComSpec%環(huán)境變量，來看一下，如下所示：

????????????????????圖片二十六：echo %ComSpec%
?前面獲取了大量的cmd指令，又獲取了cmd.exe可執(zhí)行路徑，下面必須是創(chuàng)建cmd進程，否則那么多的sub不就白費了.....如下所示：

????????????????????圖片二十七：CreateThread
接下來向cmd.exe寫入執(zhí)行的數(shù)據(jù)，完成了cmd命令拷貝，如下圖所示：

????????????????????圖片二十八：WriteFile
?回調(diào)函數(shù)結(jié)束了它的使命，創(chuàng)建了cmd線程且利用匿名管道寫入執(zhí)行的cmd指令，實現(xiàn)自身拷貝，這段代碼還是比較有意思。接下來到了分水嶺，也就是當(dāng)前進程的終點了，如下圖所示：

????????????????????圖片二十九：分水嶺
如圖二十二，我們明白這是要檢測是否已存在啟動項，如果響應(yīng)成功則執(zhí)行如下：

????????????????????圖片三十： 執(zhí)行1
?那么上述代碼就結(jié)束了exit退出了，然后運行msdtcv.exe，其實還是自己，我繼續(xù)來下看，下面就是網(wǎng)絡(luò)相關(guān)的操作，接著調(diào)用了一個sub_4037b0，這是一個有意思的函數(shù)，如下圖所示:

????????????????????圖片三十一：RegOpenKeyEx

????????????????????圖片三十二：MachineGuid
?有意思的代碼如上，MachineGuid？這個就是所謂的超級硬件唯一標(biāo)識，但是什么都沒有操作....只是做了判斷獲取了標(biāo)識符數(shù)據(jù)，應(yīng)該另有用處，如下所示：

????????????????????圖片三十三：sub_4037b0返回值
進行了WSA初始化及socket操作，如下所示：

????????????????????圖片三十四：gethostname

????????????????????圖片三十五：sub_402520返回值
接著調(diào)用了函數(shù)sub_4025B0，函數(shù)內(nèi)容如下所示：


????????????????????圖片三十六：收集系統(tǒng)信息
?函數(shù)sub_4025B0里面大量的采集了操作系統(tǒng)的信息，應(yīng)該是為了發(fā)送給服務(wù)端，為后續(xù)下載的惡意代碼兼容性提供數(shù)據(jù)支撐，線性分析發(fā)現(xiàn)sub_402070函數(shù)，收集的數(shù)據(jù)形成GET請求，包含了系統(tǒng)唯一標(biāo)識及版本數(shù)據(jù)等信息，如下所示：

????????????????????圖片三十七：GET報文形成
?數(shù)據(jù)也收集，下面就發(fā)送吧，sub_402890函數(shù)包含了完整socket操作，并且發(fā)送給了服務(wù)器，如下圖所示：

????????????????????圖片三十八：send與recv
還有最后一個函數(shù)sub_402BA0，我們繼續(xù)看一下，如下所示：

????????????????????圖片三十九：socket

????????????????????圖片四十：send Data
?通過上面數(shù)據(jù)我們發(fā)現(xiàn)，仍在是在與服務(wù)進行通訊，格式化拼接數(shù)據(jù)發(fā)送到服務(wù)器端，下面則是下載并寫入本地惡意代碼，如下所示：

????????????????????圖片四十一：獲取絕對路徑
?以上C++代碼環(huán)境在windows10 64bit下測試，那么意味了當(dāng)前系統(tǒng)的該路徑并且寫入文件數(shù)據(jù)，比較有意思的，服務(wù)端下載的惡意代碼進行了數(shù)據(jù)解密，通過對文件光標(biāo)選擇性讀寫數(shù)據(jù)，抽取真正執(zhí)行的惡意代碼，然后創(chuàng)建線程，如下所示：



????????????????????圖片四十二：選擇性惡意代碼讀寫
?為什么這樣做呢？為了混淆免殺，下載下來的惡意代碼為了避免被殺毒軟件查殺，可以在代碼中進行混淆，不論是從PE偏移點的改變或者是對一些敏感字符的匹配都有可能失效，躲避一些所謂的啟發(fā)式查殺，最后在本地生成真正的惡意代碼且執(zhí)行，如下所示：

????????????????????圖片四十三：運行惡意代碼文件
?最后在收集數(shù)據(jù)，調(diào)用sub_402890函數(shù)，也就是上面分析完整的socket操作，如上圖三十八所示，調(diào)用圖如下所示：

?最后是獲取了時間與偽隨機數(shù)，且這是一個大循環(huán)，又會回到當(dāng)初分水嶺WSACleanup的地方，如下所示：

????????????????????圖片四十四：數(shù)據(jù)提供
??以上就是整個樣本的分析，其實發(fā)現(xiàn)有意思的是字符串獲取的方式以及惡意代碼下載后躲避啟發(fā)式查殺的手段。本身程序并不攜帶任何具有惡意性的操作，而是收集了當(dāng)前系統(tǒng)大量的數(shù)據(jù)發(fā)送服務(wù)端（特洛伊），服務(wù)器端根據(jù)當(dāng)前系統(tǒng)下載兼容的混淆惡意代碼，在本地進行文件解密且運行，可惜是下載不下來惡意代碼了....
?最后，有興趣的朋友可以到文章開頭中Crazyman_Army帖子中下載APT的樣本，學(xué)習(xí)研究一下。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機、免備案服務(wù)器”等云主機租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

本文題目：APT蔓靈花分析-創(chuàng)新互聯(lián)
當(dāng)前網(wǎng)址：http://www.rwnh.cn/article44/dsddhe.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供響應(yīng)式網(wǎng)站、電子商務(wù)、App開發(fā)、關(guān)鍵詞優(yōu)化、外貿(mào)網(wǎng)站建設(shè)、網(wǎng)站策劃

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)