用户
搜索
  • TA的每日心情
    开心
    2018-7-27 14:34
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]初来乍到

    i春秋作家

    Rank: 7Rank: 7Rank: 7

    10

    主题

    33

    帖子

    188

    魔法币
    收听
    0
    粉丝
    2
    注册时间
    2018-5-26

    i春秋签约作者

    发表于 2019-2-9 14:56:56 34950

    反病毒工程师的“伎俩”

    i春秋上的dalao已经发了一篇关于这位“反病毒工程师”的故事,那么笔者来看看这位“反病毒工程师”的技术到底是怎么样的。
    相关链接:https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=49603
    http://tieba.baidu.com/p/6014748769

    版权所有,禁止转载!

    0x0 起因

    原因是看到MBR锁机的勒索界面上有“XiYangYang”字样,且留下的QQ的昵称也为“喜羊羊”,所以我们将此样本命名为“喜羊羊”锁机。

    然而,病毒吧贴吧的一名会员的QQ昵称与头像相撞,且一些锁机样本与他有千丝万缕的联系,我们不得不对他产生怀疑。

    图1

    图2

    图3

    根据文件名,我们找到了这个样本。

    图4

    分析了一下,发现该样本加了VMP壳,附加了各种反调试,必须要有一定的逆向技术才能解决。结果这位喜羊羊的回复出乎我们的意料。

    图5


    图6

    按照i春秋dalao的说法(里面的名字已经被笔者替换):

    喜羊羊对数据包分析和SMTP发信协议几乎一无所知,对其所为的”反病毒工程师”的逆向分析能力真的不能不让人人大打问号(不过肯定的是如果这样的回答去面试反病毒工程师肯定是100%被刷的),然而他却能准确的说出该木马程序的执行逻辑。甚至非常深入的知道该勒索密码和ID都是随机生成没有关联如此细节分析的逻辑关系(做逆向分析的大佬应该都懂,这段逻辑无法通过行为分析获得,必须定位random函数shellcode地址通过调用关系判断)因此这就陷入了一个逻辑的死循环,假如喜羊羊和该勒索毫无关系,那么在喜羊羊对其分析后:

    1.假如喜羊羊逆向基础过关,他怎么可能不知道该勒索把密码发到不正是他qq,然后立马有所表示到底是哪个二五仔诬陷我,而不是骚操作地说”会把密码打包发给作者”,这不就自我承认了么?

    2.假如喜羊羊逆向基础不过关,如同其论证在技术解释上漏洞百出甚至可以说毫无逻辑,那他又是如何能如此准确地说出该勒索病毒的执行逻辑,不仅能绕过VMP壳的各种暗桩检测甚至分析出主要逻辑还可能已经被VM化的逻辑代码,专业的程度绝对不亚于一个常年混迹在52pj的老司机。操作太骚实在是想不透。

    正巧,笔者在病毒吧发现了“喜羊羊”写的一篇分析文章《记一次对修改主页病毒的分析》,粗略地看看,发现里面居然有逆向分析的环节,笔者便仔细分析。

    0x1 分析

    为了验证“喜羊羊”的水平,笔者通过文章里的md5下载到了对应的样本。


    图7

    图8-样本-9F771BCFD7A2D2D5A2321BE1B84555BC


    图9-样本-
    dd37dc13df1224a8719208ae5cde2b63-杀软白名单

    图10-样本-b1229d412eeb96987bb3695adadc9162

    这样可以看出是个“白加黑”样本,但是“喜羊羊”的结论却是:

    图11

    这样不难看出“喜羊羊”的第一感觉之差。我们重新看他的文章。


    图12

    一个MFC的操作就是易语言特征,笔者已经被“喜羊羊”弄得无语了。

    这个时候,他又贴出了一张IDA的截图,说是“函数连环套”。


    图13


    图14

    我真的怀疑,如果没有火绒剑跑行为他能不能看得懂OD上面的东西。


    图15

    “喜羊羊”说是释放了两个PE文件,怕不是瞎了,他哪只眼睛看到了释放两个PE文件?


    图16

    我好心指出错误,没成想居然被反怼回去。


    图17

    文章的最后,还建议安全厂商取消对数字签名的检查,我也不多说了,各位看官自己思考吧。

    但是我问了一下360安全卫士负责样本收集的工作人员,他说:“这个样本已经是很久前的了,卫士支持查杀,不需要反馈。”


    图18

    既然他分析的有错误,笔者就帮他分析一番,我们从样本9F771BCFD7A2D2D5A2321BE1B84555BC开始。

    0x2 分析样本

    样本加了UPX壳,我们脱之。


    图19


    图20

    脱壳之后就看到庐山真面目了。

    我们OD配合火绒规则分析一下。


    图21

    看堆栈窗口和火绒弹窗可以看出样本对IE浏览器进行了操作。


    图22

    修改IE浏览器的首页。


    图23

    将文件写入启动项。


    图24

    最后上一张样本窗口。

    其它样本由于时间关系就暂不分析了。

    0x3 总结

    一阵操作过后,笔者就分析完样本了。由于笔者很菜,各位dalao口下留情,因为害怕贴吧水军,所以不敢在贴吧发帖。希望“喜羊羊”能把“反病毒工程师”的技能学到了。

    大佬!!!!!!!!!!!!!!
    使用道具 举报 回复
    膜拜反病毒大佬
    一位热衷于分享,积极向上的小白
    使用道具 举报 回复
    不是很详细
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册