用户
搜索
  • TA的每日心情
    开心
    2018-7-27 14:34
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]初来乍到

    i春秋作家

    Rank: 7Rank: 7Rank: 7

    10

    主题

    33

    帖子

    196

    魔法币
    收听
    0
    粉丝
    2
    注册时间
    2018-5-26

    i春秋签约作者

    发表于 2019-1-12 15:21:08 322175

    对一款后门木马的简单分析

    0x00 概况

    近期我发现了一款后门木马正在大肆传播,该木马功能完善,一时免杀了众多杀软,不过在发文前,virustotal上已经有57 个检测引擎检测到此文件。下面,我对这款后门木马进行深入分析。

    0x01 信息


    因为该木马作者对程序的编译时间做了处理,我无从得知木马的编译时间。但是,通过杀软的发现或者入库时间能有效掌握编译的时间范围。

    通过360天眼的威胁研判分析系统可以得知,发现该样本的时间为东八区时间2019-01-08 16:19:01,说明样本还是较新的。

    (图为VT的扫描结果)

    0x02 分析

    木马没有加壳,这给我分析带来了极大的便利。

    首先将木马拖进OD执行,运行结果就是一个建行的窗口,虽然上面的按钮几乎都点不了。

    下面这个流程图基本就是木马的运行流程了。

    首先,它会写入启动项来实现自启动。
    C:\users\MUSYIDA\appdata\local\temp\explorarsrv.exe
    再通过cmd命令打开ie浏览器。
    C:\Program Files\Internet Explorer\iexplore.exe creator:建行2mgr.exe cmdLine:"C:\Program Files\Internet Explorer\iexplore.exe"
    在系统目录下创建多个文件。
    C:\Users\MUSYIDA\AppData\Local\Temp
    连接服务器接受命令。

    通过可视化可以看出有多个服务器。





    指向服务器与Ramnit蠕虫病毒有关联。


    其中一个波兰的教育服务器被黑客用来当作远控服务器。

    以上是威胁情报。

    OEP(程序入口点)很容易就找到了。但是我暂时不使用OD分析,我把木马拖入IDA查看。

    既然作者都那么直接了,我也直接一些。

    看分析工具的分析结果,和我分析的差不多。

    分析到这就结束了。

    0x03 总结

    其实,该木马在结构上并没有什么先进的技术,可能在免杀方面多用了点心吧?其实,该样本只是针对国内的杀软进行免杀的,建议大家在用杀软的时候,可以采取一中一西的方法,这样也许会更好一些。

    情报来源:360天眼威胁研判分析系统、微步社区

    评分

    参与人数 1魔法币 +10 收起 理由
    zzconfig + 10 很厉害啊小表哥

    查看全部评分

    发表于 2019-1-12 17:22:15
    很厉害啊小表哥很厉害啊小表哥很厉害啊小表哥
    有一天他会突然觉得累了甚至忘了初衷 放弃了梦想也许因为年纪的关系奔波于现实 然后拉黑了网络认识的所有人或者说不用了一个号码换了一个QQ 那么记得他叫流光 这个网络他曾来过。
    使用道具 举报 回复
    我只想说,干的漂亮
    有一天他会突然觉得累了甚至忘了初衷 放弃了梦想也许因为年纪的关系奔波于现实 然后拉黑了网络认识的所有人或者说不用了一个号码换了一个QQ 那么记得他叫大叔 这个网络他曾来过
    使用道具 举报 回复
    感谢分享
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册