【PC样本分析】利用doc文件漏洞的木马样本分析

Andy 2019-07-28 木马病毒样本分析安全文摘

前言

样本多次dump和调用，比较麻烦，考验耐心。希望大家一起参考学习，一起进步！如有不当之处，也希望大佬批评指正，晚辈一定虚心受教。由于考虑到时间问题还有个人能力的原因，如果又不清楚或错误的地方，也请大家见谅，不懂之处欢迎提出私信，我也尽量解答

分析

样本信息

样本名称: giấy mời họp.doc
样本大小: 597K
MD5: 6897B33954A4B228F8A7132E07FDE3B6
样本来源: https://www.virustotal.com/gui/file/37378258b682c92e11e45c4714a95ef843dfc48e064112e9969586ae88c386bf/detection

环境与工具

win xp，win7 32 ,OD, IDA, exeinfo

分析

简述CVE-2012-0158，找到溢出点

该漏洞为栈溢出漏洞，其恶意软件有很多也是利用该漏洞进行传播的。形成该漏洞的原因网传据说是”巨硬“特意留的后门，其漏洞形成的模块在MSCOMCTL.ocx中，我们IDA反汇编该模块，其漏洞的点在于dwBytes变量，正常的Cobj对象大小为8,但是因为有个”>“导致通过构造大于8的结构。

Shellcode分析

解密代码，解密大小为0x200,解密算法为( (byte [edi]+0xAB) xor (0x33) ) - 0xFC

之后跳转到解密后的代码

寻找所需模块地址

寻找指定API

映射已打开文件

可以看到文件映射为doc文件

找到文件中的指定代码

解密执行

Hook API

Hook之后的代码

可以看到后边的API调用都是通过调用被Hook的API调用的

并且调用API如果存在固定格式的话会跳过之前的5字节，这样od不能直接识别，也防止直接下断点，麻烦

之后的操作为
解密配置文件

申请空间，解密代码

解密第一段PE

解密第二段,该段文件为FakeDoc页面

拷贝内存到doc文件中

以挂起的形式创建进程

接下来写入PE文件
得到上下文环境

申请空间，地址为0X50000000

写入代码

设置上下文环境

恢复现场

调试注入代码

拼接字符串
C:\Documents and Settings\Administrator\Application Data\Microsoft\SystemCertificates\systems.exe
C:\Documents and Settings\Administrator\Application Data\Microsoft\SystemCertificates\goopdate.dll
C:\Documents and Settings\Administrator\Application Data\Microsoft\SystemCertificates\Systemsfb.ebd
C:\Documents and Settings\Administrator\Application Data\Microsoft\SystemCertificates\install.inf