首页 安全文摘 漏洞分析 正文

【PC样本分析】利用doc文件漏洞的木马样本分析

前言样本多次dump和调用,比较麻烦,考验耐心。希望大家一起参考学习,一起进步!如有不当之处,也希望大佬批评指正,晚辈一定虚心受教。由于考虑到时间问题还有个人能力的原因,如果又不清楚或错误的地方,也请大家见谅,不懂之处欢迎提出私信,我也尽量解答分析样本信息样本名称: giấy mời họp.doc样本大小: 597KMD5: 6897B33954

前言

样本多次dump和调用,比较麻烦,考验耐心。希望大家一起参考学习,一起进步!如有不当之处,也希望大佬批评指正,晚辈一定虚心受教。由于考虑到时间问题还有个人能力的原因,如果又不清楚或错误的地方,也请大家见谅,不懂之处欢迎提出私信,我也尽量解答

分析

样本信息

样本名称: giấy mời họp.doc
样本大小: 597K
MD5: 6897B33954A4B228F8A7132E07FDE3B6
样本来源: https://www.virustotal.com/gui/file/37378258b682c92e11e45c4714a95ef843dfc48e064112e9969586ae88c386bf/detection

环境与工具

win xp,win7 32 ,OD, IDA, exeinfo

分析

简述CVE-2012-0158,找到溢出点

漏洞为栈溢出漏洞,其恶意软件有很多也是利用该漏洞进行传播的。形成该漏洞的原因网传据说是”巨硬“特意留的后门,其漏洞形成的模块在MSCOMCTL.ocx中,我们IDA反汇编该模块,其漏洞的点在于dwBytes变量,正常的Cobj对象大小为8,但是因为有个”>“导致通过构造大于8的结构。

【PC样本分析】利用doc文件漏洞的木马样本分析 安全文摘 样本分析 木马病毒 漏洞分析  第1张


Shellcode分析

解密代码,解密大小为0x200,解密算法为( (byte [edi]+0xAB) xor (0x33) ) - 0xFC

【PC样本分析】利用doc文件漏洞的木马样本分析 安全文摘 样本分析 木马病毒 漏洞分析  第2张


之后跳转到解密后的代码

寻找所需模块地址

【PC样本分析】利用doc文件漏洞的木马样本分析 安全文摘 样本分析 木马病毒 漏洞分析  第3张


寻找指定API

【PC样本分析】利用doc文件漏洞的木马样本分析 安全文摘 样本分析 木马病毒 漏洞分析  第4张


映射已打开文件

【PC样本分析】利用doc文件漏洞的木马样本分析 安全文摘 样本分析 木马病毒 漏洞分析  第5张


可以看到文件映射为doc文件

【PC样本分析】利用doc文件漏洞的木马样本分析 安全文摘 样本分析 木马病毒 漏洞分析  第6张


找到文件中的指定代码

【PC样本分析】利用doc文件漏洞的木马样本分析 安全文摘 样本分析 木马病毒 漏洞分析  第7张


解密执行

【PC样本分析】利用doc文件漏洞的木马样本分析 安全文摘 样本分析 木马病毒 漏洞分析  第8张


Hook API

【PC样本分析】利用doc文件漏洞的木马样本分析 安全文摘 样本分析 木马病毒 漏洞分析  第9张


Hook之后的代码

【PC样本分析】利用doc文件漏洞的木马样本分析 安全文摘 样本分析 木马病毒 漏洞分析  第10张

 
可以看到后边的API调用都是通过调用被Hook的API调用的

【PC样本分析】利用doc文件漏洞的木马样本分析 安全文摘 样本分析 木马病毒 漏洞分析  第11张

 
并且调用API如果存在固定格式的话会跳过之前的5字节,这样od不能直接识别,也防止直接下断点,麻烦

【PC样本分析】利用doc文件漏洞的木马样本分析 安全文摘 样本分析 木马病毒 漏洞分析  第12张


之后的操作为
解密配置文件

【PC样本分析】利用doc文件漏洞的木马样本分析 安全文摘 样本分析 木马病毒 漏洞分析  第13张


申请空间,解密代码

【PC样本分析】利用doc文件漏洞的木马样本分析 安全文摘 样本分析 木马病毒 漏洞分析  第14张

 

【PC样本分析】利用doc文件漏洞的木马样本分析 安全文摘 样本分析 木马病毒 漏洞分析  第15张

 
解密第一段PE

【PC样本分析】利用doc文件漏洞的木马样本分析 安全文摘 样本分析 木马病毒 漏洞分析  第16张

 
解密第二段,该段文件为FakeDoc页面

【PC样本分析】利用doc文件漏洞的木马样本分析 安全文摘 样本分析 木马病毒 漏洞分析  第17张


拷贝内存到doc文件中

【PC样本分析】利用doc文件漏洞的木马样本分析 安全文摘 样本分析 木马病毒 漏洞分析  第18张


以挂起的形式创建进程

【PC样本分析】利用doc文件漏洞的木马样本分析 安全文摘 样本分析 木马病毒 漏洞分析  第19张


接下来写入PE文件
得到上下文环境

【PC样本分析】利用doc文件漏洞的木马样本分析 安全文摘 样本分析 木马病毒 漏洞分析  第20张


申请空间,地址为0X50000000

【PC样本分析】利用doc文件漏洞的木马样本分析 安全文摘 样本分析 木马病毒 漏洞分析  第21张


写入代码

【PC样本分析】利用doc文件漏洞的木马样本分析 安全文摘 样本分析 木马病毒 漏洞分析  第22张


设置上下文环境

【PC样本分析】利用doc文件漏洞的木马样本分析 安全文摘 样本分析 木马病毒 漏洞分析  第23张


恢复现场

【PC样本分析】利用doc文件漏洞的木马样本分析 安全文摘 样本分析 木马病毒 漏洞分析  第24张


调试注入代码

拼接字符串
C:\Documents and Settings\Administrator\Application Data\Microsoft\SystemCertificates\systems.exe
C:\Documents and Settings\Administrator\Application Data\Microsoft\SystemCertificates\goopdate.dll
C:\Documents and Settings\Administrator\Application Data\Microsoft\SystemCertificates\Systemsfb.ebd
C:\Documents and Settings\Administrator\Application Data\Microsoft\SystemCertificates\install.inf

【PC样本分析】利用doc文件漏洞的木马样本分析 安全文摘 样本分析 木马病毒 漏洞分析  第25张


解密代码

【PC样本分析】利用doc文件漏洞的木马样本分析 安全文摘 样本分析 木马病毒 漏洞分析  第26张


首先创建systems.exe文件

【PC样本分析】利用doc文件漏洞的木马样本分析 安全文摘 样本分析 木马病毒 漏洞分析  第27张


解密代码,大小为E7FA

【PC样本分析】利用doc文件漏洞的木马样本分析 安全文摘 样本分析 木马病毒 漏洞分析  第28张


改代码为压缩之后代码,进行解压缩,其算法应该为Zlib1.2.8版本

【PC样本分析】利用doc文件漏洞的木马样本分析 安全文摘 样本分析 木马病毒 漏洞分析  第29张


解压之后为一PE文件,并将其写入systems.exe中

【PC样本分析】利用doc文件漏洞的木马样本分析 安全文摘 样本分析 木马病毒 漏洞分析  第30张

 
同理创建goopdate.dll文件和Systemsfb.ebd文件

【PC样本分析】利用doc文件漏洞的木马样本分析 安全文摘 样本分析 木马病毒 漏洞分析  第31张


之后,创建vidcap.lnk快捷方式,与之前的systems.exe绑定

【PC样本分析】利用doc文件漏洞的木马样本分析 安全文摘 样本分析 木马病毒 漏洞分析  第32张


模拟按键进行启动

【PC样本分析】利用doc文件漏洞的木马样本分析 安全文摘 样本分析 木马病毒 漏洞分析  第33张


删除该lnk文件

【PC样本分析】利用doc文件漏洞的木马样本分析 安全文摘 样本分析 木马病毒 漏洞分析  第34张


将WINWORD.EXE重命名为~DF6DC0E07310E5D9BC.tmp,并设置属性为隐藏

【PC样本分析】利用doc文件漏洞的木马样本分析 安全文摘 样本分析 木马病毒 漏洞分析  第35张


之后显示正常的doc文档,欺骗用户

systems.exe和Goopdate.dll分析

  1. system.exe
    调用dll文件

  2. 【PC样本分析】利用doc文件漏洞的木马样本分析 安全文摘 样本分析 木马病毒 漏洞分析  第36张

  3. Goopdate.dll
    寻找.xdate节表

  4. 【PC样本分析】利用doc文件漏洞的木马样本分析 安全文摘 样本分析 木马病毒 漏洞分析  第37张

进行xor解密,并调用

【PC样本分析】利用doc文件漏洞的木马样本分析 安全文摘 样本分析 木马病毒 漏洞分析  第38张


【PC样本分析】利用doc文件漏洞的木马样本分析 安全文摘 样本分析 木马病毒 漏洞分析  第39张


解密代码执行,主要行为读取同目录下的systemsfb.ebd文件,解密执行

【PC样本分析】利用doc文件漏洞的木马样本分析 安全文摘 样本分析 木马病毒 漏洞分析  第40张


systemsfb.ebd

这里依旧解密

【PC样本分析】利用doc文件漏洞的木马样本分析 安全文摘 样本分析 木马病毒 漏洞分析  第41张


可以看到该代码为去掉MZ的头部PE文件,我们补好该文件
之后通过VirtualAlloc申请空间并进行映射,为了节省空间,我们直接分析该dump下来的PE文件

最后一个dump文件

经过一系列的解密dump文件,终于到了最后一个文件
首先,在初始化过程中,存在关键函数

【PC样本分析】利用doc文件漏洞的木马样本分析 安全文摘 样本分析 木马病毒 漏洞分析  第42张


首先查询注册表

【PC样本分析】利用doc文件漏洞的木马样本分析 安全文摘 样本分析 木马病毒 漏洞分析  第43张

 
在设置Internet选项时,存取获取信息,所获取信息如下

【PC样本分析】利用doc文件漏洞的木马样本分析 安全文摘 样本分析 木马病毒 漏洞分析  第44张

 
该函数获取信息如下
获取系统版本,位数,CPU 频率,内存信息,计算机名,用户名,ip地址,磁盘信息

【PC样本分析】利用doc文件漏洞的木马样本分析 安全文摘 样本分析 木马病毒 漏洞分析  第45张


对信息进行处理

【PC样本分析】利用doc文件漏洞的木马样本分析 安全文摘 样本分析 木马病毒 漏洞分析  第46张


创建互斥体,检测虚拟机,创建注册表开机启动

【PC样本分析】利用doc文件漏洞的木马样本分析 安全文摘 样本分析 木马病毒 漏洞分析  第47张

 

【PC样本分析】利用doc文件漏洞的木马样本分析 安全文摘 样本分析 木马病毒 漏洞分析  第48张


得到域名及其端口号

【PC样本分析】利用doc文件漏洞的木马样本分析 安全文摘 样本分析 木马病毒 漏洞分析  第49张


创建两个线程,进行网络连接,完成对信息的传输
HTTP进行连接

【PC样本分析】利用doc文件漏洞的木马样本分析 安全文摘 样本分析 木马病毒 漏洞分析  第50张

 
tcp连接

【PC样本分析】利用doc文件漏洞的木马样本分析 安全文摘 样本分析 木马病毒 漏洞分析  第51张


IoC:
cu.Phimhainhat.org

结语

样本下载

下载量 : 5  |  文件类型 : 图片文件  

原文由吾爱破解论坛


本文转载自互联网,如有侵权,联系删除

转载请注明本文地址:https://heibai.org.cn/1485.html

相关推荐

游戏黑灰产识别和溯源取证

游戏黑灰产识别和溯源取证

前言样本多次dump和调用,比较麻烦,考验耐心。希望大家一起参考学习,一起进步!如有不当之处,也希望大佬批评指正,晚辈一定虚心受教。由于...

安全文摘 2个月前 (04-26) 0 8606

XNU虚拟内存安全往事

XNU虚拟内存安全往事

前言样本多次dump和调用,比较麻烦,考验耐心。希望大家一起参考学习,一起进步!如有不当之处,也希望大佬批评指正,晚辈一定虚心受教。由于...

安全文摘 3个月前 (04-03) 0 6008

发布评论

ainiaobaibaibaibaobaobeishangbishibizuichiguachijingchongjingdahaqiandaliandangaodw_dogedw_erhadw_miaodw_tuzidw_xiongmaodw_zhutouganbeigeiliguiguolaiguzhanghahahahashoushihaixiuhanheixianhenghorse2huaixiaohuatonghuaxinhufenjiayoujiyankeaikeliankouzhaokukuloukunkuxiaolandelinileimuliwulxhainiolxhlikelxhqiuguanzhulxhtouxiaolxhwahahalxhzanningwennonuokpinganqianqiaoqinqinquantouruoshayanshengbingshiwangshuaishuijiaosikaostar0star2star3taikaixintanshoutianpingtouxiaotuwabiweifengweiquweiwuweixiaowenhaowoshouwuxiangjixianhuaxiaoerbuyuxiaokuxiaoxinxinxinxinsuixixixuyeyinxianyinyueyouhenghengyuebingyueliangyunzanzhajizhongguozanzhoumazhuakuangzuohenghengzuoyi
感谢您的支持