一PE感染型木馬行為分析、清理及感染文件修復
責編:gltian |2018-11-05 13:41:02本文分析一個PE感染木馬病毒行為, 澄清基本功能和加載方式,并給出受損文件修復方案。 該木馬病毒通過感染系統原有PE和移動介質駐留系統進行復制傳播,竊取文件。
前言
前不久一入行不久的朋友種了木馬病毒,自己分析了啟動方式和病毒本體,清除了病毒本體和其啟動項,以為打完收工,可詭異的 iexplore.exe 進程殺了又起周而復始,隨求助我來看看,初步查看行為,懷疑是早年灰鴿子常用的進程替換,創建一個掛起狀態(SUSPEND)的進程, 填充惡意代碼,設置主線程的上下文,啟動主線程,自身退出。都是老套路找出本體干掉相關啟動項即可解決問題,隨著分析深入發現此木馬病毒手法雖老,強在巧妙集成,環環相扣,功能較多,應為團隊所為,詳細跟進了下,隨有此文記錄下分析過程。
一 基本行為分析
OD加載,典型UPX入口
查段確認UPX,
懶的手脫,下載UPX順利脫掉。
OD繼續,步過初始化和花指令,申請內存空間,解密關鍵代碼拷貝到新空間,push 首地址,ret 返回執行,
CreateProcess 創建進程,掛起。
分步申請內存,置零后將數據解密后拷貝
跨進程分步拷貝數據到新進程內存中,拷貝1
拷貝2,其余略過…
ResumeThread 線程,在新進程寫入內存下斷點。
新進程斷在最后一次寫的跳轉代碼處,
新進程進行必要的初始化拷貝自身到啟動目錄后先后創建4個線程,分別完成不同的功能
斷下4個線程逐個分析各線程功能分別為
1 模擬瀏覽器偽裝http流量訪問 google.com、bing.com、yahoo.com
2 遍歷盤符,判斷磁盤類型,進行相應操作
3 連接特定域名進行木馬數據交互
4 創建ftp服務器將本機所有磁盤設為ftp服務目錄
以下是對四個線程的簡要分析
設定 User-agent 偽裝瀏覽器流量訪問網站,略過。
如為移動介質寫 autorun.inf 及相關傳染組件
調用 GetLogicalDriveString 獲取磁盤列表,GetDriveType獲取磁盤類型
獲取磁盤剩余空間后寫入 autorun.inf 及相關組件
可移動介質內寫入如下文件
.cpl文件為控制面板項,實為PE文件,OD加載起來…
CreateProcess 創建進程傳染…
supnewdmn.com 指向ip為 82.112.184.197,歸屬地俄羅斯
tvrstrynyvwstrtve.com
rtvwerjyuver.com
wqerveybrstyhcerveantbe.com
就supnewdmn.com進行簡要分析,其指向Ip為 82.112.184.197,歸屬俄羅斯
supnewdmn.com指向ip及下載惡意文件記錄
82.112.184.197 對應域名及相關域名解析記錄..
木馬病毒偽裝流量訪問大站、移動介質寫autorun.inf傳染、木馬域名回連常見,明目張膽開21端口ftp服務的還比較少見。
獲取ftp指令后在標準 ftp指令序列內對比指令是否合法,
ftp用戶名口令是明文,找起來比較簡單,用戶名密碼均為:supnewdmn , explorer.exe 訪問 ftp://127.0.0.1 所有磁盤皆可訪問。
二 啟動加載方式
經觀察分析,ie并不是殺掉進程后立即啟動,而是不定期起來,用Procmon觀察,與用戶行為有關系,具體到木馬中分析,除了寫啟動目錄外,木馬調用OpenProcessToken、LookupPrivilegeValue、AdjustTokenPrivileges提升自身權限后,獲取進程列表,對相應模塊PE進行寫操作,對進程需要加載模塊添加段。
例如 Acunetix、Wireshark、WinHex、FileZilla 加載的dll zlib.dll
OD的 loaddll.exe
當宿主進程加載該模塊時,釋放命名為“原進程名+mgr.exe” 的PE文件并執行。
搜?mgr.exe?,最近打開的幾個進程都已有模塊被感染。
按照添加段的二進制代碼特征搜索C盤內 .exe *.dll 文件,已感染485個.
三 清除
病毒遍歷系統所有進程模塊,修改PE文件增加段將惡意代碼存儲在新段中。其修改PE文件以下位置,
struct IMAGE_FILE_HEADER FileHeader
WORD NumberOfSections //段數量加1
struct IMAGE_OPTIONAL_HEADER32 OptionalHeader
DWORD AddressOfEntryPoint //入口點指向新節內
DWORD SizeOfImage //映像大小
DWORD CheckSum //校驗和
以上4項,NumberOfSections、SizeOfImage、CheckSum好處理,清除惡意節后計算相應結果修改即可,新入口地址指向新段,在執行完惡意代碼后會返回原入口點,通常會存在新段內,跟蹤驗證。
如上圖所示新舊入口地址偏移存儲在新加段結尾位置,同時存儲了宿主進程的全路徑供釋放時使用。
以上幾個位置,寫個簡單的python程序就可恢復,恢復完數據記得恢復原文件時間。
四 總結
與時下的無文件木馬相比,傳統木馬病毒因有文件駐留,更注意自身加殼、加密、PE感染駐留,Dll劫持、白加黑等方法的運用,只要細心分析澄清不難。澄清機理徹底清除,只是攻擊追蹤溯源的第一步,后續還有大量的工作需要做……