<progress id="yueoz"><code id="yueoz"><xmp id="yueoz">

      1. 吾愛破解 - LCG - LSG |安卓破解|病毒分析|www.13ee.cn

         找回密碼
         注冊[Register]

        QQ登錄

        只需一步,快速開始

        搜索
        查看: 6535|回復: 51
        上一主題 下一主題

        [PC樣本分析] Darkhotel組織攻擊套件Ramsay從隔離網中竊取信息

          [復制鏈接]
        跳轉到指定樓層
        樓主
        Yennfer_ 發表于 2020-6-10 17:28 回帖獎勵
        使用論壇附件上傳樣本壓縮包時必須使用壓縮密碼保護,壓縮密碼:52pojie,否則會導致論壇被殺毒軟件等誤報,論壇有權隨時刪除相關附件和帖子!
        本帖最后由 Yennfer_ 于 2020-6-11 17:32 編輯

        Ramsay

        基本信息

        File Nmae File Size File Type MD5
        Ramsa1Exe.exe 1,849,905 Byte Spy 186b2e42de0d2e58d070313bd6730243

        簡介

        樣本通過感染內網中的exe程序,進而感染word文檔,隨著Word文檔由U盤帶入隔離網,感染隔離網的文件并在隔離網內持久化,搜集情報,打包成加密的rar文件,并將rar文檔二次加密后附加在word文檔尾部,再跟隨word文檔由U盤帶出隔離網,病毒判斷每一次Word文檔附加的指令,執行不同的代碼

        動態行為

        樣本是一個7-Zip安裝包,點擊運行后釋放多個文件并創建了大量進程,其中包含有正常安裝7-Zip部分的進程

        調用CMD查詢計算機信息、網絡、查詢端口等

        在多個目錄下釋放大量文件

        分析

        查殼

        無殼,樣本是一個NSIS打包成的7-Zip壓縮包

        讀取自身

        載入OD與IDA中,經過入口點初始化之后,樣本會在執行正常安裝程序之前先執行惡意代碼

        申請內存,將自身讀取到申請的內存中

        判斷權限級別

        通過獲取SID結構,判斷當前進程權限,執行不同的代碼


        釋放并執行多個exe文件

        獲取%Temp%目錄,再拼接出路徑

        判斷%Temp%目錄下是否已經存在要釋放出的隨機字符串.exe文件

        拼接出特定字符串“pN64RaafaQfjWXjM3Ku3UkqP”,在最開始將自身讀取到申請的內存空間中比較,

        匹配上這一段字符串

        匹配

        在內存中比較到字符串,可以發現字符串后面跟著的就是一個PE文件

        后面同樣,拼接出另一個字符串,然后再內存中尋找匹配

        申請內存,拷貝第一次匹配到的PE文件到申請的內存中

        將拷貝的PE文件寫入到前面拼接的%TEMP%下的隨機字符串.exe中

        修改釋放出的exe文件的創建時間、修改時間、訪問時間

        用同樣的方法,拼接出另兩個字符串"4znZCTTa2J24E64GzUxaUnYg"和"2A2rRhArF6akS9PaRZBwdrbn",在內存中匹配然后將PE文件寫到%TEMP%目錄下另一個exe中

        調用ShellExecuteExW執行剛才釋放出的第二個PE文件


        判斷在C:\Windows\System32目錄下是否存在msfte.dll,如果不存在且權限夠高的話,則再次從生成隨機字符串

        利用和前面一樣的方法,在內存中匹配字符串"2A2rRhArF6akS9PaRZBwdrbn"和"pN64RaafaQfjWXjM3Ku3UkqP"

        得出PE文件


        調用CreateProcess執行剛釋放出的exe

        到這里代碼就執行完了,后面的是正常安裝7-Zip的代碼

        moprxlpbpm.exe

        moprxlpbpm.exe是被母體釋放出的第二個exe文件,在前面通過ShellExecuteExW執行

        反調試

        樣本Winmain開頭檢測CommandLine,如果不是從母體調用而是雙擊運行會直接退出程序

        用第一次釋放的PE文件CopyFile覆蓋病毒母體



        覆蓋之后

        然后調用ShellExecuteExW運行病毒母體,實際上是第一次釋放出的PE文件

        這個是正常的7-z安裝器

        運行后刪除第一次釋放出的PE文件

        kfzagiqcbu.exe

        kfzagiqcbu.exe是第三次釋放出的PE文件,Dropper,負責釋放其他文件

        查殼后UPX的殼,脫掉后

        釋放文件執行

        先檢查路徑C:\Users\sam\AppData\Roaming\Microsoft\UserSetting是否存在,不存在則創建

        判斷程序的CommandLine是否有字符串"gQ9VOe5m8zP6",執行不同的代碼

        判斷C:\Windows\system32\msfte.dll是否存在,執行不同的代碼

        判斷文件夾C:\Windows\System32\Identities是否存在,不存在就創建并設置屬性為隱藏

        并將自身拷貝到C:\Windows\System32\Identities\下并命名為wideshut.exe

        寫入另一個PE文件到C:\Windows\System32\Identities\Sharp.exe

        拼接另一個路徑并寫入文件bindsvc.exe,再調用CreateProcessW執行

        釋放文件,驅動執行

        執行bindsvc.exe后,利用函數iswow64process判斷當前系統是32位或是64位,當系統為32位時,判斷C:\Windows\System32\Drivers\hfile.sys是否存在,如果存在就把它移動到%temp%目錄下隨機字符串.dat

        不論是否存在C:\Windows\System32\Drivers\hfile.sys,都會createfile,然后寫入內容

        當C:\Windows\System32\Drivers\hfile.sys已經存在且被移動到%temp%下之后,會用hfile.sys創建一個驅動并啟動,設置為開機自動啟動服務

        已經運行的驅動

        運行后,樣本會嘗試連接\.\HideDriver并嘗試使用DeviceIOControl傳輸buffer

        釋放msfte.Dll,劫持服務自啟

        判斷C:\Windows\System32\msfte.dll是否存在,還是和前面一樣,存在就移動到%TEMP%下隨機名.dat,然后再新寫入一個msfte.dll



        劫持Windows的服務Windows Search,修改為開機自啟,因為Wsearch服務開加載msfte.dll,所以樣本也能跟隨服務實現開機自啟

        查詢C:\Windows\System32\oci.dll是否存在,存在就移動到%TEMP%下隨機名.exe,再寫入一個C:\Windows\System32\oci.dll


        拷貝自身

        判斷C:\Windows\System32\wimsvc.exe是否存在,存在則復制到%TEMP%目錄下的隨機名.exe

        然后將樣本自身拷貝到C:\Windows\System32\wimsvc.exe


        釋放oci.Dll,劫持服務自啟

        利用同樣的方法,修改服務“MSDTC”為自啟動,使前面釋放的oci.dll跟隨服務自動

        調用CMD,拼接參數,修改"MSDTC"的ObjectName="LocalSystem"

        刪除自身

        在%temp%目錄下創建一個.bat文件,多次拼接,刪除樣本自身和bat文件自身


        kfzagiqcbu.exe的代碼到這里結束

        bindsvc.exe

        Bindsvc.exe是由Dropper執行的第一個文件

        查殼

        查詢注冊表HKEY_CURRENT_USER\Volatile Environment下APPDATA和LOCALAPPDATA環境變量的路徑


        查詢C:\Users\sam\AppData\Roaming\Microsoft\UserSetting是否存在,不存在則創建,這個路徑被隱藏了,估計是驅動隱藏的

        讀取文件C:\Windows\System32\Identities\wideshut.exe,同樣這個路徑已經被隱藏了,當這個文件不存在的時候有一串提示語“Ramsay is not exist. I will finish."

        拼接出五串字符串,讀取后通過幾組字符串讀取數據

        讀取自身到申請的一塊空間中,然后通過前面拼接的第二組和第三組字符串讀取數據,第一次讀取病毒的StartKit

        通過第一組和第二組讀取TrnCleaner

        判斷文件C:\Users\sam\AppData\Roaming\Microsoft\UserSetting\trnmg.sdb是否存在,存在就刪除,這個文件是病毒的日志,加密后存儲,這個路徑也被hfile.sys隱藏,設置有守護線程一直設置隱藏,卸載掉驅動再取消隱藏、系統屬性就可以看見


        獲取系統所有盤符,排除A、B軟盤,遞歸遍歷除了系統盤之外的所有盤符

        讀取到EXE文件后,只感染文件小于256MB的文件,通過判斷字符串

        "9J7uQTqgTxhqHaGUue5caaEr3KU"和"9J7uQTqgTxhqHaGUue5caaEr"判斷文件是否被感染

        創建文件夾C:\Users\sam\AppData\Local\Temp{e91461b4-a519-4110-9fae-d2895719dbb1},并設置為隱藏屬性

        在新建的文件夾下創建一個同名exe,將前面獲取的StartKit寫入,通過比較,只有文件尾部的零填充字節多少不同,其他部分一致

        更新資源,修改代碼,將exe感染成為與7z安裝器相同的結構

        完成后,將被感染的exe覆蓋原來的exe文件,并刪除新建的exe文件,將被感染文件的時間修改為前面獲取到的正常exe的時間

        感染exe后的日志解密后

        獲取計算機網卡信息并寫入到日志中

        創建新線程,感染網絡中共享磁盤


        bindsvc.exe的代碼到這里結束

        Hfile.sys

        Hfile.sys是Dropper釋放出的驅動文件,載入IDA后會提示有PDB路徑,路徑為

        C:\users\vmware\desktop\hidedriver\bin\Release\i386\HideDriver.pdb

        這個文件是一個Rootkit,用來隱藏創建的各種文件和文件夾,不卸載掉Hfile.sys這驅動,在RING3下對文件夾去除隱藏操作無效的

        msfte.dll、oci.dll

        msfte.dll、oci.dll兩個文件基本一致,只有一個字節差別

        msfte.dll是Dropper釋放出劫持服務"Windows Search"的文件,跟隨服務“Windows Search”的自啟而被加載實現自啟

        無殼

        創建文件夾C:\Users\sam\AppData\Roaming\Microsoft\UserSetting,獲取系統硬件配置文件全局標識符GUID

        查詢當前加載該DLL的程序,并判斷是SearchIndexer.exe、explorer.exe、msdtc.exe,執行不同代碼

        當進程為SearchIndexer.exe時

        一個死循環新線程,創建一個和explorer.exe同樣TOKEN的SearchProtocolHost.exe,然后程序結束

        當進程為explorer.exe時

        獲取到路徑"C:\Users\sam\AppData\Roaming\Microsoft\Office\Recent",然后進行死循環

        從路徑中拼出C:\Users\sam\AppData\Roaming\Microsoft\Office\Recent*.doc.lnk,文件夾中保存著最近打開過的Word文檔的.lnk快捷方式

        從.lnk快捷方式得出指向的原文件

        拼接出路徑"C:\Users\sam\AppData\Roaming\Microsoft\UserSetting\MediaCache"后創建這個文件夾,然后將文件夾設置為隱藏

        硬編碼Doc文件的文件頭標志,判斷文檔后綴為.doc還是.docx,讀取文檔,與硬編碼的標志頭比較前21字節,確認是否為文檔


        拼接出路徑C:\Users\sam\AppData\Roaming\Microsoft\UserSetting\NetworkDiagnos,在這個文件夾下創建一個生成的隨機字符串.dat文件

        向其中寫入將讀取到的doc文件加密后的十六進制數據

        將讀取到的doc文件拷貝到%APPDATA%\Microsoft\Word\123.docx

        創建文件夾%APPDATA%\Microsoft\Word,在文件夾內創建一個vbs文件,寫入內容


        調用Wscript.exe執行VBS,CommandLine:

        C:\Windows\System32\wscript.exe  C:\Users\sam\AppData\Roaming\Microsoft\Word\winword.vbs  C:\Users\sam\AppData\Roaming\Microsoft\Word.

        用于將doc文檔轉換為txt文本

        然后刪除vbs文件,并將C:\Users\sam\AppData\Roaming\Microsoft\Word下轉換出的txt文件移動到隱藏文件夾C:\Users\sam\AppData\Roaming\Microsoft\UserSetting\MediaCache中

        當進程為msdtc.exe時

        msdtc.exe是服務MSDTC的程序,對應前面劫持MSDTC服務

        Dll跟隨服務開機自啟,然后找到Dropper的備份C:\Windows\System32\wimsvc.exe執行,實現Dropper的開機自啟

        當進程為HTON.exe、BON.exe、Cover.exe時

        創建文件夾C:\Users\sam\AppData\Roaming\Microsoft\UserSetting\BjDJTPvUnpqrxxKx9OXL


        調用前面釋放的Sharp.exe,Sharp.exe是WINRAR的程序,將Recent目錄下的所有文件打包,密碼PleaseTTakeOut6031416!!@@##


        遍歷"C:\Users\sam\AppData\Roaming\Microsoft\UserSetting"將前面得到的doc轉txt文件復制到C:\Users\sam\AppData\Roaming\Microsoft\UserSetting\BjDJTPvUnpqrx0012CF68xKx9OXL下

        將所有txt、剛才打包后的recent文件夾內內容和日志文件復制后打包到上級目錄,密碼為PleaseTakeOut6031416!!@@##,打包后調用CMD刪除整個文件夾


        將rar數據讀取到內存,刪除壓縮包,然后對壓縮包進行加密

        加密前

        加密后

        HOOK函數WriteFile

        正常的WriteFile

        被HOOK后的WriteFile,jmp到了病毒代碼

        HOOK后的代碼對Word文檔寫入隱藏數據

        創建死循環線程,保持竊密和日志更新

        導出表中有函數AccessDebugTracer和AccessRetailTracer

        遍歷進程目錄查找到進程"explorer.exe",遠線程注入將自身注入到"explorer.exe"中

        竊密

        調用CMD執行大量拼接出的數據,獲取網絡相關信息,將相關內容加密后寫入文件夾Media下計算機名-時間.rtt文件中

        竊取獲取IE臨時文件

        通過判斷doc文檔被感染后的特有標志,執行不同的內容

        如果沒有特有的標記,則判斷word的創建或訪問時間在一個月內,對word文檔進行感染,將前面打包得到的加密后的RAR的十六進制數據添加在word文檔尾部


        總結

        樣本通過感染內網中的exe程序,進而感染word文檔,隨著Word文檔由U盤帶入隔離網,感染隔離網的文件并在隔離網內持久化,搜集情報,打包成加密的rar文件,并將rar文檔二次加密后附加在word文檔尾部,再跟隨word文檔由U盤帶出隔離網,病毒判斷每一次Word文檔附加的指令,執行不同的代碼。并使用自定義的文件傳輸協議而不是傳統的網絡協議。

        基于自定義的文件傳輸控制指令完整過程:

        ​        攻擊者當前位置可能是位于目標內網,能控制一定數量的機器和共享目錄上的文件。

        ​        步驟1. 感染正常的EXE文件,通過受害者攜帶進入隔離網絡的機器中執行。

        ​        步驟2. 被攻陷的隔離網絡機器中的竊密數據,被附加到正常Word文檔的末尾;

        ​        1) 附加竊密數據的Word文檔被受害者攜帶撤出隔離網絡;

        ​        2) 攻擊者找到這些Word 文檔,讀取附加的竊密數據;

        ​        步驟3. 攻擊者感染新的Word文檔,附加命令和執行對象。

        ​        1) Word文檔被受害者攜帶進入隔離網絡;

        ​        2) 附加的命令和執行對象在隔離網絡中已被攻陷的機器中得到執行;

        ​        3) 執行結果的日志隨著步驟2也被帶出隔離網絡。

        84.jpg (34.81 KB, 下載次數: 0)

        84.jpg

        免費評分

        參與人數 38吾愛幣 +41 熱心值 +35 收起 理由
        白羽小試 + 1 + 1 我很贊同!
        danielau + 1 + 1 大神請接收我的膜拜!
        woshishiqi + 1 牛逼就完事了
        xing2828 + 1 + 1 謝謝@Thanks!
        繁華如畫 + 1 熱心回復!
        poisonbcat + 1 + 1 謝謝@Thanks!
        chenjingyes + 1 + 1 謝謝@Thanks!
        fec7de + 1 + 1 我很贊同!
        綠雪羚羊 + 1 + 1 歡迎分析討論交流,吾愛破解論壇有你更精彩!
        fei8255 + 1 + 1 謝謝@Thanks!
        Mouse + 1 + 1 謝謝@Thanks!
        揮汗如雨 + 2 + 1 熱心回復!
        天蝎浪花 + 1 + 1 歡迎分析討論交流,吾愛破解論壇有你更精彩!
        hgfty1 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
        kinglightsecond + 1 + 1 謝謝@Thanks!
        x51zqq + 2 + 1 感謝分享,建議配個整體流程圖可以更直觀一點哦
        Dectiny + 1 + 1 謝謝@Thanks!
        WW0947558 + 1 歡迎分析討論交流,吾愛破解論壇有你更精彩!
        xiaorr + 1 + 1 謝謝@Thanks!
        clarice1213 + 1 熱心回復!
        yixi + 1 + 1 我很贊同!
        山上的冷 + 1 + 1 謝謝@Thanks!
        yAYa + 3 + 1 歡迎分析討論交流,吾愛破解論壇有你更精彩!
        女蘿巖 + 1 + 1 我很贊同!
        kerwincsc + 1 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
        siuhoapdou + 1 + 1 用心討論,共獲提升!
        zhoumeto + 1 + 1 用心討論,共獲提升!
        kentish + 1 + 1 歡迎分析討論交流,吾愛破解論壇有你更精彩!
        jnez112358 + 1 + 1 謝謝@Thanks!
        也許我不夠堅強 + 1 + 1 用心討論,共獲提升!
        fengbolee + 1 + 1 謝謝@Thanks!
        gaosld + 1 + 1 用心討論,共獲提升!
        victos + 1 + 1 熱心回復!
        養雞場廠長 + 1 + 1 用心討論,共獲提升!
        生有涯知無涯 + 1 用心討論,共獲提升!
        smile1110 + 3 + 1 謝謝@Thanks!
        大白癡先生 + 1 + 1 歡迎分析討論交流,吾愛破解論壇有你更精彩!
        WWB0224 + 1 + 1 熱心回復!

        查看全部評分

        本帖被以下淘專輯推薦:

        發帖前要善用論壇搜索功能,那里可能會有你要找的答案或者已經有人發布過相同內容了,請勿重復發帖。

        推薦
        Hmily 發表于 2020-6-10 18:07
        最好可以添加一些代碼和截圖來配合說明,前段時間好像看到過哪家廠商發過這個樣本的報告?
        推薦
        smile1110 發表于 2020-6-10 19:51
        沙發
        chmod755 發表于 2020-6-10 17:47
        5#
        pandorazx 發表于 2020-6-10 20:23
        很厲害的樣子- -!
        6#
         樓主| Yennfer_ 發表于 2020-6-11 08:50 |樓主
        Hmily 發表于 2020-6-10 18:07
        最好可以添加一些代碼和截圖來配合說明,前段時間好像看到過哪家廠商發過這個樣本的報告?

        好像是安天
        7#
        shenshouaowu 發表于 2020-6-11 10:19
        清早起床,謝謝分享,學習下思路
        8#
         樓主| Yennfer_ 發表于 2020-6-11 13:37 |樓主
        chmod755 發表于 2020-6-10 17:47
        大佬,有圖嗎?

        嗯?沒有圖嗎
        9#
         樓主| Yennfer_ 發表于 2020-6-11 13:41 |樓主
        本帖最后由 Yennfer_ 于 2020-6-11 13:53 編輯

        emmmmm,微博的圖床好像不顯示,我晚上再重新補圖
        10#
        sssjcccz01a 發表于 2020-6-11 14:27
        不錯哦,思路奇特學習了
        您需要登錄后才可以回帖 登錄 | 注冊[Register]

        本版積分規則 警告:本版塊禁止灌水或回復與主題無關內容,違者重罰!

        快速回復 收藏帖子 返回列表 搜索

        RSS訂閱|小黑屋|聯系我們|吾愛破解 - LCG - LSG ( 京ICP備16042023號 | 京公網安備 11010502030087號 )

        GMT+8, 2020-6-28 21:02

        Powered by Discuz!

        Copyright © 2001-2020, Tencent Cloud.

        快速回復 返回頂部 返回列表
        快三开奖结果