<progress id="yueoz"><code id="yueoz"><xmp id="yueoz">

      1. 吾愛破解 - LCG - LSG |安卓破解|病毒分析|www.13ee.cn

         找回密碼
         注冊[Register]

        QQ登錄

        只需一步,快速開始

        搜索
        查看: 4386|回復: 87
        上一主題 下一主題

        [PC樣本分析] 一例加密保護Excel的VBA宏病毒下載器分析-更新

          [復制鏈接]
        跳轉到指定樓層
        樓主
        Loopher 發表于 2020-11-7 17:47 回帖獎勵
        使用論壇附件上傳樣本壓縮包時必須使用壓縮密碼保護,壓縮密碼:52pojie,否則會導致論壇被殺毒軟件等誤報,論壇有權隨時刪除相關附件和帖子!
        本帖最后由 Loopher 于 2020-11-9 15:35 編輯

        概述

        分析時間:2020-11-07
        更新:2020-11-09 增加解決方案和防護建議

        在早前筆者寫的一篇惡意樣本分析的筆記中有同學評論說是自己的電腦中了病毒,如下


        經過溝通后獲取樣本,趁著周末就分析了一下,該樣本的宏經過了密碼保護,啟用宏功能后程序會在后臺下載  synpatic.exe和一個臨時文件cache1 文件 并且會隱藏文件和執行,截止筆者分析時宏內的下載鏈接已經不能下載了。下面詳細分析該文檔的功能,包括的內容如下

        • 分析加密碼保護的 vba 宏程序
        • 使用 vipermonkey 模擬分析宏

        樣本分析

        基礎靜態分析

        樣本文件是一個 excel 樣本,由于是論壇的@無量那由他劫提供,打開文件后,接著查看一下宏內容,如下

        這里先不要打開宏,使用alt+F11的快捷鍵打開接口

        這個宏受密碼保護,要想直接打開并不可能


        在這里要說一下在早前的樣本分析筆記中 Word文檔宏病毒樣本分析中有人給我說筆者寫的調試方式

        不能應對一些宏病毒,這里感謝提醒。除了oledump.py之外,這里提供另一個功能強大的宏病毒分析模擬程序ViperMonkey 除了提供宏代碼提取,還能模擬執行宏程序。

        使用vipermonkey

        這個庫是一個 python 的庫,安裝命令為

        pip install -U https://github.com/decalage2/ViperMonkey/archive/master.zip

        不過在 windows 上安裝運行可能會有點問題,解決方案具體參考windwos找不到/tmp就能正常運行了。安裝完成后使用如下命令提取宏

        • 提取宏

        運行如下命令分析內嵌的宏,如下

        vmonkey p.xls

        得到如下

        整理后保存為 a.vbs 如下

        • 模擬運行

        除了上面提到的方式提取腳本,有時候希望得到運行的結果,可以使用如下方式來進行模擬運行

        vmonkey -s a.xls


        運行如下,

        提取完成基本的信息后,下面分析程序。

        宏代碼分析

        入口分析

        打開程序后來到入口位置 Workbook_Open 得到如下內容

        開始程序會先統計excel的表單數量,接著調用 RegKeySave 函數關閉掉 excel和word 的宏警告

        參考: https://getadmx.com/?Category=Office2016&Policy=word16.Office.Microsoft.Policies.Windows::L_VBAWarningsPolicy

        接著將打開的 excel 文檔的警告提示關閉,保存表單的數量。程序調用 MPS 函數后,設置表單的默認選項是第一個。這里基本的入口分析完成了,接著分析一下 MPS 函數分析

        MPS 函數分析

        進入到 MPS 函數內后得到如下結果

        首先創建一個 FSO 對象和一個數組 FP 以及一個 URL 數組

        我也不是很懂VBA語法,不過從賦值上來看是數組

        這個函數的功能主要是判斷是 \~cache1或者\~Synaption.exe 是否存在,如果存在則復制到  tmp\cache1.exe 并使用隱藏的窗口的方式啟動。

        參考: https://docs.microsoft.com/en-us/office/vba/language/reference/user-interface-help/shell-function

        其中 FP 數組用來保存兩個文件名分別是 \~cache1 \~Synptics.exe 程序,然后 URL 數組用來保存要下載的文件 url 地址,接著調用 FSO 對象判斷 cache1和Synaption.exe 是否存在,如果存在則將對應的文件復制到 %TMP% 目錄下的 cache1.exe ,復制完成后還會將 tmp\cache1.exe 以隱藏 shell 窗口啟動進程的方式運行。 如果文件不存在則分別到如下地址下載,只要有一個文件下載成功則啟動進程

          URL(1) = "https://docs.google.com/uc?id=0BxsMXGfPIZfSVzUyaHFYVkQxeFk&export=download"
          URL(2) = "https://www.dropbox.com/s/zhp1b06imehwylq/Synaptics.rar?dl=1"
          URL(3) = "https://www.dropbox.com/s/zhp1b06imehwylq/Synaptics.rar?dl=1"

        目前改地址已經不能訪問了,調用的 FDW 函數如下

        訪問上述地址后都是不能存在了


        該樣本運行后會還會自動填充數據,筆者認為這個宏提供的功能是一些常用的 excel 的過濾,排序等手動操作的過程,使用腳本來做重復的工作,不過這也是猜測。

        動態調試

        根據上面的靜態分析已經很清晰了,下面進入動態調試來執行查看一些運行的變量來確保分析結果,同時也提供一些針對密碼保護的宏樣本分析手段。因為有時候分析的樣本經過了重度混淆此時靜態分析將會無從下手,如下是查看宏提示要求輸入密碼

        去除密碼保護

        由于這個樣本已經使用了密碼保護,要想動態調試需要量樣本的密碼保護去掉,這里推薦使用 VBA PASSWORD BYPASS 來完成密碼的繞過,有需要的可以到提供的下載。使用 VBA Password Bypass 打開樣本是提示如下


        提示要求打開樣本后不要關閉 bypass 軟件,此時對應的 excel 文件將被打開,打開后我們將宏功能打開
        VBA password bypass

        https://appnee.com/vba-password-bypasser/

        為了調試需要打開宏 程序會運行失敗,如下

        由于文件是有點不適合公開,打碼了


        接著點擊 End 后使用 Alt+F11 打開宏,如下


        核心部分在 ThisWorkbook 內,打開后如下

        設置斷點后開始調試命中斷點后如下

        可能運行樣本時不一定能設置斷點,此時按下F5后再次嘗試即可設置斷點,之后點擊運行按鈕

        查看運行變量后觀察到表單的數量有 6


        接著調用 RegKeySave 函數關閉宏警告提示


        運行完成后將會設置 excel word 的宏警告關閉。


        之后禁用excel警告提示 ,緊接著來到 MPS 函數,運行時參數如下

        接著進行文件判斷后調用網絡下載

        繼續執行到 send 函數執行后網絡失敗

        不能下載遠端的 payload 程序,則后續就不能繼續分析了。

        2020-11-09更新

        后續,感染病毒的同學問我為啥保存的excel文件會變為.xlsm文件

        這個惡意軟件為了讓用戶開啟宏功能,將用戶的數據全部隱藏掉,開啟宏運行后就執行后臺程序然后再顯示用戶數據,如果用戶沒有開啟宏執行,則默認顯示一個表,其余的全部不顯示。

        如下沒有開啟宏的情況,只有一個表可見

        開啟宏之后就會自動加載其余剩下的表

        VBA 腳本內有如下函數

        Workbook_BeforeSaveexcel 的函數,觸發條件是用戶保存數據時的動作

        參考 https://docs.microsoft.com/en-us/office/vba/api/excel.workbook.beforesave

        保存 excel 的觸發條件為

        • ctrl+s
        • File->save
        • File->saveAs

        如果前兩個觸發,則傳入的 SaveAsUI 動作是將所有的表單設置為不可見,只保留一個可見

        此時試運行的情況,當保存觸發,程序執行完紅色框的程序后,只有一個表保留,其他的都被隱藏了,如下

        當執行文件另存為的時候只顯示一個可顯示選項保存為 xlsm 文件,如下

        點擊另存為觸發函數

        接著將另存為的文檔其余的表單隱藏,只保留一個

        彈出保存文檔框并提供保存的文件只能是.xlsm格式

        此時的數據格式只有一個可見

        接著會在最后判斷 cache1 是否存在,如果存在則再次復制到 %ALLUSERSPROFILE%\synaptics\Synaptics.exe


        可以查看解決辦法,好像格式有點變了

        信息收集分析

        經過上述分析后知道該樣本是一個下載,此時將文件的 hash 信息到 VT 上查詢,


        還是被很多 AV 檢測出來了標記為 Downloader ,查看分析歷史,該樣本在最早在 2015-01-15 就已經被創建了,內容是在 2012-07-02 的時候曾經被修改過,猜測這個樣本該不會是一個釣魚樣本吧,并且首次提交 VT 分析的時間是筆者分析的時間,換句話說這個樣本此前并未被上傳分析過,如下

        再結合文件的名稱和內容來看就比較可疑,如下


        不知道給我分析的人是不是自己的文檔,希望各位不要隨意點擊未知郵件或者開啟 office 的宏功能。

        解決辦法 2020-11-09 更新

        數據恢復

        在宏開啟的時候,新建一個excel文檔數據復制數據到新的excel文檔,不要在使用這個有宏excel程序即可 如果復制了原始宏的數據會提示如下是我測試的結果

        重新保存為新表即可。

        將宏的保護功能開啟

        打開注冊表執行如下命令 Win+R 彈出如下框輸入 regedit


        找到`**HKEY_CURRENT_USER\soft\Microsoft\Office\version` 下的 `excel|word**` 將security的宏警告開啟,

        上述的程序將此功能關閉了,修改值如下

        修改前


        選中 VBAWarings 右鍵-->修改值,將 1-->0

        保存后如下

        修改后


        修改后保存下次運行帶有宏自動運行的文檔就會有提示要求開啟宏。

        該樣本已經將系統宏警告防護關閉,后續的帶有宏的程序就能直接運行,請將此防護功能開啟

        總結

        建議

        最近分析了好幾種不同的 office 類型的病毒,很多宏的病毒都是誘騙用戶開宏來執行,在收到未知郵件或者文檔

        時,不要著急開啟宏功能,先確保文件的安全性在運行。

        樣本特征

        sha1: e3f7fcd1ce2e4fd02c2470e52203512cdda2d944

        URLS

          URL(1) = "https://docs.google.com/uc?id=0BxsMXGfPIZfSVzUyaHFYVkQxeFk&export=download"
          URL(2) = "https://www.dropbox.com/s/zhp1b06imehwylq/Synaptics.rar?dl=1"
          URL(3) = "https://www.dropbox.com/s/zhp1b06imehwylq/Synaptics.rar?dl=1"

        RegKey

         "HKCU\Software\Microsoft\Office\" & Application.Version & "\Excel\Security\VBAWarnings", 1, "REG_DWORD"
         "HKCU\Software\Microsoft\Office\" & Application.Version & "\Word\Security\VBAWarnings", 1, "REG_DWORD"

        免費評分

        參與人數 31威望 +2 吾愛幣 +125 熱心值 +28 收起 理由
        Jfosai + 1 + 1 用心討論,共獲提升!
        hiYuzu + 1 + 1 用心討論,共獲提升!
        chenjingyes + 1 + 1 謝謝@Thanks!
        DefeatGhosts + 1 + 1 我很贊同!
        talon___ + 1 + 1 我很贊同!
        太陽王 + 1 我很贊同!
        上百度 + 1 我很贊同!
        5omggx + 1 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
        0615 + 1 + 1 我很贊同!
        funzeroo + 1 我很贊同!
        noahO_O + 1 我很贊同!
        wsbjw + 1 謝謝@Thanks!
        萬物皆可白嫖 + 1 + 1 用心討論,共獲提升!
        resu + 1 + 1 用心討論,共獲提升!
        青衫見青山 + 1 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
        yunhaiwuyu + 1 + 1 我很贊同!
        Levitate + 1 + 1 用心討論,共獲提升!
        Trisscute + 1 + 1 我很贊同!
        小小的 + 1 + 1 我很贊同!
        HXY0507 + 1 用心討論,共獲提升!
        夕陽武士 + 1 + 1 熱心回復!
        fengbolee + 1 + 1 用心討論,共獲提升!
        Aswattha + 1 我很贊同!
        Hmily + 2 + 100 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
        1行 + 1 + 1 很好的分析,給的幾個工具也蠻有用的
        Bizhi-1024 + 1 謝謝@Thanks!
        csts123 + 1 + 1 謝謝@Thanks!
        無量那由他劫 + 1 + 1 謝謝@Thanks!
        biubiu_max + 1 + 1 大佬帶帶
        szoe + 1 + 1 謝謝@Thanks!
        火絨 + 1 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!

        查看全部評分

        發帖前要善用論壇搜索功能,那里可能會有你要找的答案或者已經有人發布過相同內容了,請勿重復發帖。

        推薦
         樓主| Loopher 發表于 2020-11-15 16:30 |樓主
        funzeroo 發表于 2020-11-15 12:17
        看完帖子,總結一下,樓主看是否正確:
        1、不要隨意點開不知名或不了解的excel文件,點開了也不要隨意開啟 ...

        嗯嗯,可以這么理解
        推薦
         樓主| Loopher 發表于 2020-11-9 14:30 |樓主
        無量那由他劫 發表于 2020-11-9 11:22
        大老厲害,求后續解決途徑,又不能用VBA,也不敢在電腦繼續使用,每次做完表重新打開都是空的,害,

        我等會更新一下分析內容,不好意思當時沒仔細分析剩下的函數功能,我等下更新一下,手動關閉一下宏功能,具體做法:
        1、windows+R
        2、輸入 regdedit
        3、將HKEY_CURRENT_USER\soft\Microsoft\Office\version\下的【Exce|word】\Security\VBAWarnigs修改為0
        4、重新編輯內容就不會被刪除表了,具體看我具體分析吧,這個說不完,然后你看解決方案就能處理了。
        4#
        ps122 發表于 2020-11-7 19:11
        謝謝分享
        大致是不是去除vba保護密碼,禁用宏,看代碼分析刪除
        5#
        筑基小修士 發表于 2020-11-7 23:26
        感謝分享
        6#
        cCefi 發表于 2020-11-8 03:41
        最近就被感染了 宏病毒 所有excel 全部變成xlsm格式了
        7#
        paco_lo 發表于 2020-11-8 09:42
        謝謝分享,又學到東西了。。
        8#
        biostu 發表于 2020-11-8 12:29
        不錯,支持,贊一個。
        9#
        huy445 發表于 2020-11-8 12:35
        回復賺CB
        10#
        xaibin 發表于 2020-11-8 14:42
        感謝分享,小白一個有些看不懂,但會再加油
        11#
        kone153 發表于 2020-11-8 16:39

        謝謝分享,又學到東西了。。
        12#
        Windows10 發表于 2020-11-8 18:19
        感謝分享
        您需要登錄后才可以回帖 登錄 | 注冊[Register]

        本版積分規則 警告:本版塊禁止灌水或回復與主題無關內容,違者重罰!

        快速回復 收藏帖子 返回列表 搜索

        RSS訂閱|小黑屋|處罰記錄|聯系我們|吾愛破解 - LCG - LSG ( 京ICP備16042023號 | 京公網安備 11010502030087號 )

        GMT+8, 2020-11-25 01:02

        Powered by Discuz!

        Copyright © 2001-2020, Tencent Cloud.

        快速回復 返回頂部 返回列表
        快三开奖结果