Cyborg窃密木马及其工具和流程分析

背景先容

日前收到一封带附件的邮件,该附件没有VT的上传记录,在自己搭的沙箱里测试,显示超时,而且虚拟灵便态行径监测有非常。以是抉择对样本进行阐发。

阐发完毕后,发明这是一个前期免杀工作对照充分,而Payload实体功能却不甚完善的恶意代码。以是Po出阐发历程以及部分与这个样本有关联的信息,仅供各位读者参考。

0x01 样本分析

样本进程树:

Order Updates.exe

—-CDS.exe

——–Crypted.exe

————PasswordFox.exe

————Iepv.exe

————mailpv.exe

1. Order Updates.exe

文件名称:Order Updates.exe

文件大年夜小:3,550 KB (3,635,200 字节)

文件光阴:2018-07-15 11:00:19

时 间 戳:

文件 MD5:4323C548B9AF8FA95F006954F5DE98A5

经由过程IDA进行阐发,发明该样本是一个自解压文件,将文件后缀改动为rar,设法主见获得印证。

动态调试样本时确认样本不带参数创建子进程CDS.exe。

2. CDS.exe

文件名称:CDS.exe

文件大年夜小:396 KB (406,016 字节)

文件光阴:2018-07-16 10:20:29

时 间 戳:54DA7209->2015-02-11 05:03:05

文件 MD5:424BF196DEAEB4DDCAFB78E137FA560A

最新VT查杀结果如下:

静态阐发Main函数,我们可以看到CDS.exe样本是一个标准的MFC利用法度榜样,

该样本的主要功能为:将自解压文件开释的c.dat读取并解密,写入crypted.exe。Cds.exe 经由过程CDocument、CFile和CDocmanager类供给的各类措施对文件进行操作。

动态调试时,确认法度榜样调用了lua,加载了很多加密和散列算法。

加密算法导入完毕后,该样本选择了Blowfish算法对文件进行解密。并首先完成字符串解密,获取加密过的文件名和要开释的文件名:

样本供给了两种解密数据的保存要领,取决于传进的字符串指针是否相同。

下图为解密前后的缓冲区的内容。

解密完毕后会将数据写入crypted.exe,然后经由过程设置EOF的要领删除着末8个字节,读取fs.setting文件,得到“false”的设置设置设备摆设摆设信息后,创建子进程。

3. crypted.exe

文件名称:crypted.exe

文件大年夜小:366 KB (374,784 字节)

文件光阴:2018-07-16 11:35:20

时 间 戳:5B4AC69F->2018-07-15 11:59:27

文件 MD5:3678C20BC19439B0A07378D6B0405ABB

从阐发结果来看,crypted.exe 是一个由c#编写的范例窃密木马。它主要有以下功能模块:

[1] [2]下一页

通信模块

代码如下所示:默认SMTP通信,还支持ftp和php post的措施。

键盘记录模块

设置键盘消息钩子,监控击键操作。

密码偷取模块

偷取多种主机软件密码,还包括各类游戏、付费软件的CD-Key

屏幕信息偷取模块

准时截取屏幕,偷取主机信息

别的,法度榜样还会网络主机信息,剪贴板内容等隐私信息。

动态调试

下图为样本的main函数:

代码显示,法度榜样运行时首先会弹窗,同时这个样本还有很未完成开拓的类,以是我觉得该法度榜样尚处于开拓和调试历程。

法度榜样会创建键盘消息钩子,记录击键信息,并创建几个线程,履行Cyber.X, Cyber.Y, Cyber.Z, Cyber.Srceeny和Cyber.C措施。措施和功能对应如下表:

措施功能

Cyber.X获取窗口信息并回传

Cyber.Y获取主机名并回传

Cyber.Z偷取密码并回传

Cyber.Srceeny截屏并回传

Cyber.C获取剪贴板信息并回传

回传信息的措施是:调用通信模块(transfer函数),并默认经由过程邮件协议发送图片内容,调试时的局部变量如下所示:

必要重点说的是密码偷取模块的内容,从代码定义的类名中,我们可以大年夜致懂得样本要盗守信息的工具:

在上述偷取工具中,firefox密码,邮件客户端密码和IE浏览器密码是经由过程调用对象偷取获得的,详细代码如下:

其他两个对象的开释和调用措施同上图相类似。其他密码的偷取则多是经由过程解析寄放密码的文件或注册表键值获得的:

至此样本行径阐发完毕。

0x02 关联阐发和总结

从样本分析结果来看,该样本母体为一个自解压文件,可以将随意率性必要的组件打包压缩,以是假如发明类似样本在VT上没有查询记录,也不够为奇。CDS.exe等组件则是一个可以机动设置设置设备摆设摆设解压工具和解压算法的对象,只必要更换payload,改动设置设置设备摆设摆设文件即可在该层次上完成免杀操作。由于解密操作完成前的payload,此时可所以随意率性文件款式,无法被杀毒软件识别。虽然这次解密后的payload能在落地运行的第一光阴被部分杀软查杀,然则阐发结果注解,这是一个功能仍不完善的不完全版本。经由过程对CDS.exe以及payload的特性进行关联阐发,找到了一些样本:

经由过程样本关联阐发和其他的情报碰撞,发明这样一个环境:mail.2sqpa.com这个邮件办事器在7月中旬曩昔被进击者较为频繁地应用,然则近期有类似行径的恶意代码已经开始应用其他邮件地址和通信要领通报信息,而且富厚功能的同时,也已经开始做肴杂和免杀处置惩罚。以是我觉得这应该是一个活动光阴较短的恶意代码家族,根据根据样本注释代码中的“Cyborg”字样,抉择沿用作者对该软件的这一命名。

上一页[1] [2]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包