亚博网页版

漏洞分析|亚博网页版安全实验室“电子新冠病毒”【DesktopLayer样本】分析报告(上)

 Desktoplayer是一种有害的恶意软件感染,秘密进入计算机系统。Desktoplayer放入系统后,连接到远程服务器,并使攻击者可以访问受到感染的系统。Desktoplayer降低系统性能,并使系统容易受到其他攻击。

yi、bingduweihai

ruchongbingduruqinbingwanquankongzhiyitaijisuanjizhihou,jiuhuibazheitaijiqizuoweisuzhu,jinersaomiaobingganranqitajisuanji。dangzheixiexindebeiruchongruqindejisuanjibeikongzhizhihou,huiyizheixiejisuanjiweisuzhujixusaomiaobingganranqitajisuanji,zheizhongxingweihuiyizhiyanxuxiaqu。ruchongshiyongzheizhongdiguidefangfajinxingchuanbo,anzhaozhishuzengzhangdeguilvfenbuziji,jinerjishikongzhiyuelaiyueduodejisuanji。yanzhongdezhanyongyouxiandewangluoziyuan,zuizhongyinqizhenggewangluodetanhuan,shiyonghubunengtongguowangluojinxingzhengchangdegongzuo。

er、bingdufenxi

zaiduiyangbenjinxingfenxizhiqian,xianyong peidduiyangbenjinxingchaqiao:

Desktopla<x>yer是一种有害的恶意软件感染348.png 

通过PEiD可以发现,该样本加了UPX壳,手动脱掉之后的文件为upDesktoplayer.exe.v 后续的分析均是直接针对脱壳后的文件的。

phase1:

1-1:huoqu ie lujingbingyanzheng ie kezhixingwenjianshifoucunzai (3zhongfangfa): ruguosanzhongfangfajunbunengzhaodao ie lujingbingyanzhengduiyinglujingxiaiekezhixingwenjiandecunzai,zeyangbenxingweijiucizhongzhi。

(1-1-1)tongguozhucebiao "hkey_classes_root\http\shell\open\command" huoqu ie lujingbingyanzheng ie kezhixingwenjianshifoucunzai

Desktopla<x>yer是一种有害的恶意软件感染597.png

 (1-1-2)tongguojueduilujing "c:\program files\internet explorer\iexplore.exe" huoqu ie lujingbingyanzheng ie kezhixingwenjianshifoucunzai

Desktopla<x>yer是一种有害的恶意软件感染690.png

 (1-1-3)tongguozhucebiao "hkey_local_machine\software\microsoft\windows\

currentversion\app paths\iexplore.exe" huoqu ie lujingbingyanzheng ie kezhixingwenjianshifoucunzai

Desktopla<x>yer是一种有害的恶意软件感染816.png

 1-2:yicichangshizai 1:"c:\program files\";

               2:"c:\program files\common files\ ";

               3:"c:\documents and settings\administrator\ ";

               4:"c:\documents and settings\administrator\application data\ ";

               5:"c:\windows\system32\ ";

               6:"c:\windows\ ";

               7:"c:\docume~1\admini~1\locals~1\temp\";

下创建" Microsoft"目录并写入临时文件,用于测试能否在该目录下成功创建文件,为后续在该目录下创建文件 "Desktoplayer.exe" 做准备,如果当前路径尝试成功,则停止尝试。如果上述7个路径的尝试均失败,则样本行为就此结束。

 zheiliyanshijinyidiyigelujingzuoweishili:

 (1-2-1)chuangjianwenjianjia "c:\program files\microsoft"

Desktopla<x>yer是一种有害的恶意软件感染1254.png

    xinchuangjiandewenjianjia" microsoft ":

Desktopla<x>yer是一种有害的恶意软件感染1279.png

 (1-2-2)tongguozaigaiwenjianjiaxiachuangjianyigelinshiwenjianyijianyannengfouzaigaiwenjianxiachuangjianxinwenjian

Desktopla<x>yer是一种有害的恶意软件感染1323.png

 (1-2-3)shanchuganggangchuangjiandelinshiwenjian

Desktopla<x>yer是一种有害的恶意软件感染1346.png

1-3:释放一个新样本到之前创建的目录下,名命为 “Desktoplayer.exe”,并调用 CreateProcess 来启动该应用程序。

(1-3-1)huoqudangqianyingyongchengxulujingmingcheng

Desktopla<x>yer是一种有害的恶意软件感染1444.png

(1-3-2)释放新样本到新创建的文件夹下,新文件名称为 “Desktoplayer.exe”

Desktopla<x>yer是一种有害的恶意软件感染1497.png 

shifangdexinyangbenwenjian:

Desktopla<x>yer是一种有害的恶意软件感染1511.png

(1-3-3)启动 "C:\Program Files\Microsoft\Desktoplayer.exe", Phase1关键行为已经结束

phase2:

Desktopla<x>yer是一种有害的恶意软件感染1588.png

2-1 验证特定文件夹(Phase1创建的文件夹)下是否存在样本文件:

Desktopla<x>yer是一种有害的恶意软件感染1636.png 

2-2 huoqu ntdll.dll deyixiedaochuhanshudizhibaocundaoquanjubianliangzhong,bianyuhouxudaimadediaoyong:

Desktopla<x>yer是一种有害的恶意软件感染1686.png 

Desktopla<x>yer是一种有害的恶意软件感染1689.png 

2-3:hook zwwritevirtualmemory

(2-3-1) huoqu ntdll.dll demokuaijidizhi

Desktopla<x>yer是一种有害的恶意软件感染1752.png 

(2-3-2) huoqu zwwritevirtualmemory dehanshudizhi

Desktopla<x>yer是一种有害的恶意软件感染1794.png 

(2-3-3) genggai zwwritevirtualmemory hanshutouqian 0x10 zijiedeneicunshuxingwei    page_execute_readwrite

Desktopla<x>yer是一种有害的恶意软件感染1875.png 

(2-3-4) jisuan zwwritevirtualmemory hanshutounenggoubeixiugaidezijieshu   

Desktopla<x>yer是一种有害的恶意软件感染1926.png 

(2-3-5) shenqing 0xf daxiaodeneicunkongjian,cunfang hook zwwritevirtualmemory guochengzhongdeyixieshuju

Desktopla<x>yer是一种有害的恶意软件感染1991.png 

(2-3-6) jutide hook guochengzhong

Desktopla<x>yer是一种有害的恶意软件感染2017.png  

(2-3-7) xiugaizhiqianshenqingde 0xf daxiaodeneicunkongjianshuxingweizhidu

Desktopla<x>yer是一种有害的恶意软件感染2055.png    

(2-3-8) haiyuan ntdll.zwwritevirtualmemory deneicunshuxing

Desktopla<x>yer是一种有害的恶意软件感染2105.png    

(2-3-9) hook ntdll.zwwritevirtualmemory qianhoujiqimayijihanshuzhixingliuchengduibi

(2-3-9-1) jiqimaduibi

bei hook zhiqiande zwwritevirtualmemory

Desktopla<x>yer是一种有害的恶意软件感染2219.png 

bei hook zhihoude zwwritevirtualmemory

Desktopla<x>yer是一种有害的恶意软件感染2254.png 

(2-3-9-2) hanshuzhixingliuchengduibi

diaoyongyuanlaideliucheng

    Desktopla<x>yer是一种有害的恶意软件感染2293.png

xintianjiadeliucheng

Desktopla<x>yer是一种有害的恶意软件感染2304.png 

 

2-4:diaoyong createprocessa laiqidong iexplorer.exe jincheng, neibuwanchengdui iexplorer.exe dezhuru

Desktopla<x>yer是一种有害的恶意软件感染2376.png    

tongguodui virtualallocex he writeprocessmemory deduandiankeyixiangxidekandaowei iexplorer.exe shenqingkongjianbingxierushujudeguocheng5ciwei ie jinchengshenqingkongjian

wei ie jinchengdi1cishenqingneicunkongjian(addr = 20010000, size = 0000d000)

Desktopla<x>yer是一种有害的恶意软件感染2525.png 

wei ie jinchengdi2(addr = 00020000, size = 00000233)、

              3(addr = 00030000, size = 000000df)、

              4(addr = 00040000, size = 000000a5 )、

              5(addr = 00050000, size = 00000138 )、

              cishenqingneicunkongjian

blob.png  

6次 向IE 进程写入数据

IE 进程第1次写入数据(Addr = 20010000, Size = 0000D000)

blob.png 

IE 进程第2(Addr = 00020000, Size = 00000233)、

              3(Addr = 00030000, Size = 000000DF)、

              4(Addr = 00040000, Size = 000000A5)、

              5(Addr = 00050000, Size = 00000138)

              次写入数据

blob.png 

IE 进程第6次写入数据(Addr = 00401A25, Size = 0000000C)

    00401A25 为 IE 的 OEP,这里实际上是更改 IE 的OEP

    在该 API调用执行之前,修改 DesktopL.0040DFA7内存处的首字节为 0XCC(同时记下原来的字节数据:0XBF,用于恢复), 即可用 OD 段下新启动的IE进程

 

blob.png   

Phase3:

3-1 注入前后 iexplorer.exe 机器码和流程对比:

  正常的 IE 入口点代码

 blob.png

被修改过后的 IE 入口点代码(修改了前 0X0C 字节)

blob.png  

由此可见,原程序的的路程跳转到了 40000 处

3-2 注入后的 iexplorer.exe 创建工作线程之前的行为分析:

(3-2-1) 处理内存 PE 的导入表

blob.png    

(3-2-2) 处理内存 PE 的节信息

blob.png 

(3-2-3) 利用 "KyUffThOkYwRRtgPP" 创建互斥体,依据返回值判断当前是否该样本的其他实例在运行

blob.png  

(3-2-4) 初始化 SOCKET

blob.png

(3-2-5) 对 2001A010 处的数据进行解密

blob.png    

(3-2-6) 获取本机信息并生成字符串  

 blob.png

(3-2-7) 获取当前系统时间, 在 iexplorer.exe 目录下创建 dmlconf.dat 文件并将系统时间写入

blob.png 

3-3 创建6个工作线程:

创建第1个线程(ThreadFunction:20017ACA)

blob.png  

  创建第2个线程(ThreadFunction:20017626)

blob.png 

  创建第3个线程(ThreadFunction:2001781F)

blob.png 

  创建第4个线程(ThreadFunction:2001790C)

blob.png  

  创建第5个线程(ThreadFunction:20016EA8)

blob.png  

  创建第6个线程(ThreadFunction:20016EC2)

blob.png 

 

3-4 工作线程行为分析:

 (3-4-1):Thread1(ThreadFunction:20017ACA)

 功能描述:

每隔 1 秒就打开注册表项:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

并读取 Userinit 的键值,然后检查路径 c:\program files\microsoft\desktoplayer.exe 是否在键值中,如果不在的话就将路径 c:\program files\microsoft\desktoplayer.exe 追加到该键值中,以达到开机启动的目的。

blob.png 

 获取注册表项的 "Userinit" 键值

blob.png 

 检查样本文件路径是否在注册表键值中

blob.png  

样本文件路径不在注册表键值中时,将样本文件路径添加到注册表中

blob.png  

休息 1S 之后,再次检查注册表

blob.png 

(3-4-2):Thread2(ThreadFunction:20017626)

功能描述:

间歇性的测试同 google.com 的 80 端口、bing.com 的 80 端口、yahoo.com 的 80 端口的连通性,只要有一个连通,就不再测试后面的网址并在全局变量 2001A23B 处保存两次能够连通的时间差(秒单位)

获取网址和端口号

blob.png 

blob.png 

blob.png  

(3-4-3):Thread3(ThreadFunction:2001781F)

火狐体育 环球体育 英亚体育 英亚体育 亚博网页版