vb6.0 生成exe被简称是木马_病毒分析|银行木马样本事件分析
事件来源
近日,HSCERT监测发现一款银行木马,Emotet是一种高度模块化的银行木马,具有基于决策树的算法来执行指定的任务。
由于Emotet能够通过可自我升级的模块提供恶意程序,因此它已成为一些组织发起针对性攻击中常用的payload载体。Emotet在多阶段和多向量攻击中的使用使其具有令人讨厌的名声。
Emotet的开发者采用了“恶意软件即服务”商业模式,其中特洛伊木马用于下载和分发其他恶意软件,如Trickbot。
自2014年银行特洛伊木马成立以来,Emotet发展成为一个多组件恶意软件。多年来,它采用了高度灵活的代码库,本样本包含以下功能:
l 使用打包器来规避恶意软件识别
l 使用反分析技术
l 间接执行payload以打破基于流程链的分析
l 通过将payload作为服务启动或通过窃取管理员凭据进行权限提升
l 跨越攻击阶段的混淆代码
l 使用多个持久性机制
l 加密的导入函数名称
l 代码中的多个JMP指令混淆了逆向工程工具
l 可自我升级的模块
l 能够在受损网络中横向移动
l 能够使受感染的主机通过从Web浏览器和电子邮件客户端窃取地址簿和凭据来发送网络钓鱼电子邮件活动
样本分析
Emotet使用超链接传播,下载Microsoft Word文档。打开时,文档会提示用户单击“启用内容”。默认情况下,如果文档包含宏或ActiveX控件,Microsoft Word会提示用户发出安全警告。通常,恶意软件作者会诱使用户单击“启用内容”按钮来运行下一阶段的攻击。
在这种情况下,启用内容会导致文档执行VBA AutoOpen宏。正如在Emotet VBA脚本中所预期的那样,字符串被严重混淆并包含许多碎片字符串。这是一种众所周知的技术,使静态分析引擎更难以检测恶意内容。
我们将遍历脚本并对代码进行反混淆处理。
AutoOpen宏
我们可以看到VBA脚本引用了WMI类winmgmts:Win32_ProcessStartup和winmgmts:Win32_Process。执行时,autoopen()Sub使用这些WMI类来启动在后台运行Base64编码混淆的PowerShell实例。
间接执行:
由于宏使用WMI运行PowerShell,是通过WmiPrvSe.exe在后台启动该进程。通过这种方式执行PowerShell,恶意软件作者可以逃避基于流程链的检测。
这是一种使用合法Windows进程从宏启动PowerShell的已知技术。
模糊的PowerShell命令:
解码Base64编码的字符串后,将生成下图中的输出。该命令使用相同的字符串连接进行模糊处理,以使分析师和扫描引擎更难分析出来。
解码后的字符串包含一个'+'字符,用于连接字符串,以及大写和小写字符的混合
可以简单地删除所有“+”字符以显示反混淆命令。
它使用Invoke-Expression cmdlet,别名'iex'的在内存中运行结果输出,这是恶意软件作者执行命令的另一种流行技术。为了实现这一点,它使用了包含字符串'SilentlyContinue'的变量$ Verbosepreference。从字符串中选择第一个和第三个字符('i'和'e'),然后用'X'连接,形成字符串'ieX'。
反混淆的PowerShell脚本:
反混淆的PowerShell脚本首先使用'@'字符作为分隔符拆分分配给变量$ XXQCZAxA的字符串,然后进入ForEach循环,该循环迭代生成的URI数组,使用Net.WebClient将可执行文件下载到受害者的系统。该脚本使用环境变量$ env:userProfile来获取当前登录用户的用户配置文件目录。下载的文件将保存到受害者的用户配置文件目录(例如C:\ Users \ [Username]),文件名为'15 .exe'。如果下载文件的大小大于40KB,则脚本将退出ForEach循环并使用Invoke-Item cmdlet运行“15 .exe”。
HTTP GET请求:
从下面的截图中可以看出,PowerShell命令发送HTTP GET请求以从hxxp:// dautudatnenhoalac [。] com / wp-admin / DYAsI检索第一阶段Emotet可执行文件,并且payload是PE格式文件。
行为分析:
下载payload后,PowerShell运行'15 .exe'(PID:2600)。然后,该进程从同一位置启动另一个'15 .exe'实例(PID:2412)。
15 .exe的第二个实例(PID:2412)将自身复制到名为'ipropmini.exe'的C:\ Windows \ SysWOW64目录。然后它创建一个服务,其中BinaryPath指向C:\ Windows \ SysWOW64 \ ipropmini.exe,DesiredAccess为18。DesiredAccess'18'给予SERVICE_CHANGE_CONFIG和SERVICE_START对服务的访问权限。
通过Windows服务启动二进制文件是一种流行的技术,原因如下。首先,它打破了基于进程链的检测,其次,在服务开始时,二进制文件总是被执行,即使它不是一个有效的服务可执行文件。
可执行文件“ipropmini.exe”(由services.exe启动)产生另一个自身实例,然后从Internet下载下一阶段payload。之后,可执行文件在第一个Emotet进程('15 .exe')上执行挖空进程,在这基础上编写了修改后的代码。
当运行时,Emotet从远程服务器下载更多有效负载并生成多个进程,收集系统信息并通过加密通道将其发送到C2服务器。
HTTP POST请求:
Emotet使用HTTP POST将系统相关信息发送到C2服务器,并从服务器接收进一步的命令作为响应。
IoCs
SHA256 (15.exe)
af2f82adf716209cd5ba1c98d0dcd2d9a171bb0963648bd8bd962edb52761241
SHA256(ipropmini.exe) af2f82adf716209cd5ba1c98d0dcd2d9a171bb0963648bd8bd962edb52761241
SHA256(ipropmini.exe) 00af24bb1be8c17106c19ba0c55acd011088c6c5b1cb01d44cc4b829b3449bcb
SHA256(5W8Jo1G2cQJW9lWLu.exe) 00af24bb1be8c17106c19ba0c55acd011088c6c5b1cb01d44cc4b829b3449bcb
SHA256(7hZs97N.exe) f58322a00b576deb9c1a26b28ca8fa84c793fc8baf3c4f780a9a77966dda89e3
SHA256(ipropmini.exe) 0eefd2619d77d7bafed95197e0c0ef30147acaddcd81eb2761ee9893fd55f91b
Delivery URL http[:]//dautudatnenhoalac[.]com/wp-admin/DYAsI/
Delivery URL http[:]//www.bewebpreneur[.]com/wp-admin/daHN/
Delivery URL http[:]//www.allgreennmb[.]com/wp-content/themes/pridezz/t9iV
Delivery URL http[:]//www.baiduwanba[.]com/css/Ubh/
Delivery URL http[:]//rileyaanestad[.]com/wp-includes/DXn1R/
参考信息
https://www.bromium.com/emotet-technical-breakdown/
如需帮助请咨询 hscert@hillstonenet.com
vb6.0 生成exe被简称是木马_病毒分析|银行木马样本事件分析相关推荐
- vb6.0 生成exe被简称是木马_使用MSF渗透框架生成PHP木马并实现控制远程服务器
一.背景介绍 Metasploit就是一个漏洞框架.它的全称叫做The Metasploit Framework,简称叫做MSF.Metasploit作为全球最受欢迎的工具,不仅仅是因为它的方便性和强 ...
- winform生成exe俩秒钟就退出_《一秒钟》是给电影的情书,也是给普通人的情书...
文章来源于芭莎电影,作者Timmy 大欢腾,当属张艺谋执导电影<一秒钟>的上映. <一秒钟>海报 设计/有点意思 从2019年2月入围第69届柏林电影节主竞赛单元因为" ...
- 计算机感染木马或病毒,电脑中木马病毒的症状
大家好,我是时间财富网智能客服时间君,上述问题将由我为大家进行解答. 电脑中木马病毒的症状是: 1.文件或文件夹无故消失 当发现电脑中的部分文件或文件夹无缘无故消失,就可以确定电脑已经中了病毒.部分电 ...
- VB6.0简繁体转换步骤
1.软件准备 Ø VB6.0简体版 Ø VB6.0繁体版 Ø convertZ Ø 自写转换工具RegularExpressTest.exe 或其它支持正则表达式转换的工具 2.convertZ篇 2 ...
- Riltok手机银行木马分析
Riltok是一款使用标准功能和传播方法的手机银行木马.为了攻击欧洲用户,银行木马做了一些小的修改来适应欧洲市场(用户).受害者中有90%位于俄罗斯,4%位于法国,还有意大利.乌克兰和英国等. Ril ...
- 新版师傅银行木马出来了 这次主要是更新了漏洞利用方式CVE-2016-0167
师傅银行木马是一款Windows恶意程序,在 2015 年首次发现.师傅基于 Shiz 源代码构建,使用了 Zeus 所使用的技术.攻击者使用师傅在全球各网上银行网站窃取证书凭据,最早在俄罗斯,后来日 ...
- 在.net core 2.0中生成exe文件
.net core 2.0程序默认生成的是一个dll,需要通过dotnet命令来执行他. dotnet ConsoleApp1.dll 这种方式有点类似于java程序.本身这种方式没有什么问题,但在调 ...
- vb6.0实现生成不重复的随机整数并排序输出
说起来这也算是我的一个执念-当时上机试排序算法时用的生成随机数 会有重复数出现 老师让我自己回去琢磨- 想法来自某天作业本的题: 要实现输出不重复的数,即将已出现过的数标记一下即可 采用逻辑型变量实现 ...
- 从零开始的nwjs(0.69.1)打包生成exe(防坑)
nwjs的作用是可以将原本的网页端打包生成exe 一:下载nwjs 这里我们使用nwjs官网下载:NW.js (nwjs.io) 进入官网,我们以normal为例进行测试,进行normal的下载,下载 ...
最新文章
- 36张图详解网络基础知识
- CVPR 2019 | 基于骨架表达的单张图片三维物体重建方法
- 比较好的anaconda下载网站
- Qt工作笔记-undefined reference to `vtable for MyObject'及对moc文件的进一步理解
- 用Visual C#实现文件下载
- Django中Form组件的使用
- [转载]Java多线程——创建线程池的几个核心构造参数
- Java之品优购课程讲义_day09(2)
- 如何进行ERP、CRM实施时的流程梳理?
- Z-001 开关电源共模电感计算的方法详解
- 计算机音乐苹果铃声,苹果铃声设置歌曲 苹果铃声怎么设置自己的歌
- OCCT里的Mesh网格计算流程
- 拼图c语言程序,C语言实现拼图小游戏
- 计算机网络——ALOHA协议
- spring报MySQLSyntaxErrorException: Unknown error 1146
- 【下载网页上的视频】IDM显示无法将下载行为传输到IDM
- SQL日期时间常用格式化方法
- 5图片展示_作为一名跨境卖家,产品图片不这样拍还怎么靠“脸”吃饭?
- 设备上报二进制数据在 IoT 平台解析实践
- 网络强国:从世界杯到CSN