一、 样本信息
1. 样本类型:窃密
2. 样本大小:540kb
. 二、 简介
该样本是针对windows系统盗取ftp,浏览器,邮箱账号密码的窃密木马
三、 详细分析/功能介绍原始文件:
该样本采用vb编写,但vb其实是一个loder用于解密加载真正的恶意模块。分析如下:
运行后首先创建一个挂起状态的傀儡进程
使用ZwWriteVirtualMemory将恶意代码写入到刚创建的傀儡进程中,之后交由傀儡程序执行恶意代码
写入的恶意代码为一个Pe文件
该模块经过分析确定为f窃密木马,会尝试窃取浏览器/FTP/邮箱账户密码,下载执行exe文件,具体分析如下:
Api获取:
样本的api函数通过调用sub_4031e5函数获取,交叉引用可见有两百余处引用,动态一个个调试效率太慢,所以使用IDA+od脚本将api函数注释出来。
可以通过ida脚本将每次解密的参数找出,之后使用od脚本push 这些参数,call 4031e5获取api。再通过ida脚本将api注释到ida中。
Ida python查询参数脚本如下:
Od部分脚本:
Ida注释脚本:
脚本运行成功后,可见所有的api全部注释与ida中,增快了静态分析的效率
功能行为
运行后,首先通过获取guid创建互斥,保证只有一个实例运行。
之后开始从FTP,浏览器,邮箱窃取账号信息:
Chromium:
Chromium家族的浏览器将登录信息存储在名为“LoginData”或“Web Data”的文件中,样本通过硬编码路径,通过字符串”password_value”,“username_value”和“original_url”获取这些文件中的账户信息:
Chromium家族的浏览器包括ComodoDragon,MapleStudio,Chrome,Nichrome,RockMelt,Spark,Chromium,Titan,Torche,Yandex,Epi,CocCoc,Vivaldi,Comodo Chromodo,Superbird ,Coowon,Mustang,360, CatalinaGroup Citrio,Chrome SxS,Orbitum,Iridium,Opera
firefox:
firefox家族将账户信息保存在signons.sqlite,logins.json,prefs.js中,样本通过读取这些文件获得账户信息:
Firefox家族浏览器包括Firefox,IceDragon,Safari,K-Melon,SeaMonkey,Flok,Thunderbird,BlackHawk,Postbox,Cyberfox,Pale ,Moon,waterfox,Lunascape.
ftp:
通过读取ftp软件的ini\ xml\dat文件获取用户账户信息:
ftp包括TPBox/NppFTP/EasyFTP/Sftp/xftp/StaffFTP/BlazeFtp/DeluxeFTP等
邮箱:
通过读取邮箱的特定文件获取用户用户信息:
邮箱包括outlook/FossaMail/Postbox/Foxmail等
其他软件:
获取包括Automize\fullsync\ExpanDrive\PuTTY等工具用户信息:
上传获取的账户信息
将获取的计算机用户名,用户信息,屏幕大小以及获取到的各种软件账户信息发送到operco****/******/fre.php
拷贝自身到%appdata%下,并设置文件属性为隐藏,删除自身
尝试从服务器获取下载链接。下载其他可执行文件执行
|