由垃圾邮件投递的白加黑远控木马分析

前言

上一周，捕获到一个最新攻击的诱饵文件，通过分析后发现：

诱饵文件由垃圾邮件投递，文件名为“中转银行卡出入明细.exe”，该诱饵文件再字符串及功能上表面看上去是一个自写的浏览器，但实际作为病毒下载器来下载后续的远控组件。

通过对相关样本的分析，提取相关IOC，有利于对攻击手法的了解及检测

 

攻击流程

 

样本分析

下载器

诱饵“中转银行卡出入明细.exe”为exe文件，诱骗用户点击

看样本的字符串是伪装成自写的浏览器

主要的关键代码如下

样本运行后会请求下载hxxp://60.169.77.137/8156.zip

直接访问该ip，发现该病毒作者仍在活跃，根据点击量，中招的用户可能已经超过了300

下载后存放到C:\\Users\\Public\\Downloads\\8156.zip，随后解压重命名为C:\Users\Public\Downloads\GoogleDES，设置命令行启动C:\Users\Public\Downloads\GoogleDES\GoogleDES.exe

白加黑远控组件

下载下来的是一套白加黑远控组件

主程序为GoogleDES.exe

看样本导入表，导入的模块除了kernel32和user32，还有netcfg.dll，GoogleDES.exe加-HrInstallNetComponent运行后会调用netcfg.dll

调用netcfg.dll后，会加载其他几个模块调用各自的功能实现各自的功能，最后使解密出的Gh0st后门在内存加载

列出以下模块的功能

模块名	功能
netcfg.dll	伪造的动态库，用于解密加载Gh0st远控模块
NewBuildImportTable.dll	修复导入表
NewCopySections.dll	拷贝区段
NewFinalizeSections.dll	初始化区段
NewMemoryLoadLibrary.dll	将模块加载到内存
NewMemoryFreeLibrary.dll	释放内存
NewMemoryGetProcAddress.dll	获取加载到内存模块的地址
NewPerformBaseRelocation.dll	修复重定位
NewTaskSchedule.dll	建立计划任务
VMProtectSDK32.dll	调用vmpsdk虚拟化代码

以下是netcfg.dll的整体逻辑

首先调用VMProtectSDK32.dll中的VMProtectBegin开始保护处标记，然后调用NewTaskSchedule.dll中的NewTaskSchedule函数设置计划任务达到持久化目的，下图是被创建的计划任务。

接下来调用VMProtectBeginUltra开始标记代码虚拟

在1001F200处取数据

经过解密，解密出一个pe文件

解密出pe文件后，调用NewMemoryLoadLibrary.dll的NewMemoryLoadLibrary函数将pe文件加载到内存

在分析的过程中，看到了模块组件中的pdb，看描述（NewRat）应该是病毒作者在做新的远控免杀组件

文件加载到内存后，再调用NewMemoryGetProcAddress.dll的NewMemoryGetProcAddress获取Jhssfhnj函数的地址

最后调用Jhssfhnj函数执行后门代码

后门程序

后门程序是在内存中加载的，并没有直接落地，所以在分析时先将后门程序dump出来

PE: packer: UPX(3.08)[NRV,brute] PE: library: MFC(4.2)[-] PE: linker: Microsoft Linker(6.0)[DLL32]

程序加了upx壳，脱壳后分析

由于样本已经利用白加黑进行解密加载，很容易绕过杀软的检测，因此对后门文件本身并无加密混淆处理，所有代码都很直观

代码很多部分与Gh0st变种大致相同，其中部分功能模块如下图

键盘记录

联网更新下载新组件

获取本机信息

MessageBox弹窗

破坏MBR

创建管道执行命令

检测的杀软列表

 

解决方案

1.删除名为Rnrhh的任务计划

2.结束GoogleDES.exe进程

3.删除C:\Users\Public\Downloads\GoogleDES目录下的文件

 

总结

这是一起利用邮件投递病毒的案例，病毒作者利用用户好奇的心理，诱骗点击运行，来达到远程控制的目的。

如果大家在遇到垃圾邮件或不明程序时一定要注意谨慎，时刻保持安全意识。