一PE感染型木马行为分析、清理及感染文件修复

栏目: 编程工具 · 发布时间: 5年前

内容简介:本文分析一个PE感染木马病毒行为, 澄清基本功能和加载方式,并给出受损文件修复方案。 该木马病毒通过感染系统原有PE和移动介质驻留系统进行复制传播,窃取文件。前不久一入行不久的朋友种了木马病毒,自己分析了启动方式和病毒本体,清除了病毒本体和其启动项,以为打完收工,可诡异的 iexplore.exe 进程杀了又起周而复始,随求助我来看看,初步查看行为,怀疑是早年灰鸽子常用的进程替换,创建一个挂起状态(SUSPEND)的进程, 填充恶意代码,设置主线程的上下文,启动主线程,自身退出。都是老套路找出本体干掉相关

一PE感染型木马行为分析、清理及感染文件修复

本文分析一个PE感染木马病毒行为, 澄清基本功能和加载方式,并给出受损文件修复方案。 该木马病毒通过感染系统原有PE和移动介质驻留系统进行复制传播,窃取文件。

前言

前不久一入行不久的朋友种了木马病毒,自己分析了启动方式和病毒本体,清除了病毒本体和其启动项,以为打完收工,可诡异的 iexplore.exe 进程杀了又起周而复始,随求助我来看看,初步查看行为,怀疑是早年灰鸽子常用的进程替换,创建一个挂起状态(SUSPEND)的进程, 填充恶意代码,设置主线程的上下文,启动主线程,自身退出。都是老套路找出本体干掉相关启动项即可解决问题,随着分析深入发现此木马病毒手法虽老,强在巧妙集成,环环相扣,功能较多,应为团队所为,详细跟进了下,随有此文记录下分析过程。

一 基本行为分析

OD加载,典型UPX入口

一PE感染型木马行为分析、清理及感染文件修复

查段确认UPX,

一PE感染型木马行为分析、清理及感染文件修复

懒的手脱,下载UPX顺利脱掉。

一PE感染型木马行为分析、清理及感染文件修复

OD继续,步过初始化和花指令,申请内存空间,解密关键代码拷贝到新空间,push 首地址,ret 返回执行,

一PE感染型木马行为分析、清理及感染文件修复

CreateProcess 创建进程,挂起。

一PE感染型木马行为分析、清理及感染文件修复

分步申请内存,置零后将数据解密后拷贝

一PE感染型木马行为分析、清理及感染文件修复

跨进程分步拷贝数据到新进程内存中,拷贝1

一PE感染型木马行为分析、清理及感染文件修复

拷贝2,其余略过…

一PE感染型木马行为分析、清理及感染文件修复

ResumeThread 线程,在新进程写入内存下断点。

一PE感染型木马行为分析、清理及感染文件修复

新进程断在最后一次写的跳转代码处,

一PE感染型木马行为分析、清理及感染文件修复

新进程进行必要的初始化拷贝自身到启动目录后先后创建4个线程,分别完成不同的功能

一PE感染型木马行为分析、清理及感染文件修复

断下4个线程逐个分析各线程功能分别为

1 模拟浏览器伪装http流量访问 google.com、bing.com、yahoo.com

2 遍历盘符,判断磁盘类型,进行相应操作

3 连接特定域名进行木马数据交互

4 创建ftp服务器将本机所有磁盘设为ftp服务目录

以下是对四个线程的简要分析

1 模拟正常流量

设定 User-agent 伪装浏览器流量访问网站,略过。

2 遍历盘符,判断磁盘类型

如为移动介质写 autorun.inf 及相关传染组件

调用 GetLogicalDriveString 获取磁盘列表,GetDriveType获取磁盘类型

一PE感染型木马行为分析、清理及感染文件修复

获取磁盘剩余空间后写入 autorun.inf 及相关组件

一PE感染型木马行为分析、清理及感染文件修复

可移动介质内写入如下文件

一PE感染型木马行为分析、清理及感染文件修复

.cpl文件为控制面板项,实为PE文件,OD加载起来…

CreateProcess 创建进程传染…

一PE感染型木马行为分析、清理及感染文件修复

3 连接特定域名

supnewdmn.com 指向ip为 82.112.184.197,归属地俄罗斯

tvrstrynyvwstrtve.com

rtvwerjyuver.com

wqerveybrstyhcerveantbe.com

一PE感染型木马行为分析、清理及感染文件修复

就supnewdmn.com进行简要分析,其指向Ip为 82.112.184.197,归属俄罗斯

supnewdmn.com指向ip及下载恶意文件记录

一PE感染型木马行为分析、清理及感染文件修复

82.112.184.197 对应域名及相关域名解析记录..

一PE感染型木马行为分析、清理及感染文件修复

线程4: FTP服务

木马病毒伪装流量访问大站、移动介质写autorun.inf传染、木马域名回连常见,明目张胆开21端口ftp服务的还比较少见。

获取ftp指令后在标准 ftp指令序列内对比指令是否合法,

一PE感染型木马行为分析、清理及感染文件修复

ftp用户名口令是明文,找起来比较简单,用户名密码均为:supnewdmn , explorer.exe 访问 ftp://127.0.0.1 所有磁盘皆可访问。

一PE感染型木马行为分析、清理及感染文件修复

二 启动加载方式

经观察分析,ie并不是杀掉进程后立即启动,而是不定期起来,用Procmon观察,与用户行为有关系,具体到木马中分析,除了写启动目录外,木马调用OpenProcessToken、LookupPrivilegeValue、AdjustTokenPrivileges提升自身权限后,获取进程列表,对相应模块PE进行写操作,对进程需要加载模块添加段。

例如 Acunetix、Wireshark、WinHex、FileZilla 加载的dll zlib.dll

一PE感染型木马行为分析、清理及感染文件修复

OD的 loaddll.exe

一PE感染型木马行为分析、清理及感染文件修复

当宿主进程加载该模块时,释放命名为“原进程名+mgr.exe” 的PE文件并执行。

一PE感染型木马行为分析、清理及感染文件修复 一PE感染型木马行为分析、清理及感染文件修复

mgr.exe ,最近打开的几个进程都已有模块被感染。

一PE感染型木马行为分析、清理及感染文件修复
按照添加段的二进制代码特征搜索C盘内 .exe *.dll 文件,已感染485个.

一PE感染型木马行为分析、清理及感染文件修复

三 清除

病毒遍历系统所有进程模块,修改PE文件增加段将恶意代码存储在新段中。其修改PE文件以下位置, 一PE感染型木马行为分析、清理及感染文件修复

struct IMAGE_FILE_HEADER FileHeader
WORD NumberOfSections //段数量加1
struct IMAGE_OPTIONAL_HEADER32 OptionalHeader
DWORD AddressOfEntryPoint //入口点指向新节内
DWORD SizeOfImage //映像大小
DWORD CheckSum //校验和

以上4项,NumberOfSections、SizeOfImage、CheckSum好处理,清除恶意节后计算相应结果修改即可,新入口地址指向新段,在执行完恶意代码后会返回原入口点,通常会存在新段内,跟踪验证。

一PE感染型木马行为分析、清理及感染文件修复

如上图所示新旧入口地址偏移存储在新加段结尾位置,同时存储了宿主进程的全路径供释放时使用。

以上几个位置,写个简单的 python 程序就可恢复,恢复完数据记得恢复原文件时间。

四 总结

与时下的无文件木马相比,传统木马病毒因有文件驻留,更注意自身加壳、加密、PE感染驻留,Dll劫持、白加黑等方法的运用,只要细心分析澄清不难。澄清机理彻底清除,只是攻击追踪溯源的第一步,后续还有大量的工作需要做……

鉴于头发不多了,今天就先到这吧…


以上所述就是小编给大家介绍的《一PE感染型木马行为分析、清理及感染文件修复》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Excel图表之道

Excel图表之道

刘万祥 / 电子工业出版社 / 2010年4月 / 59.00元

本书介绍作者在实践工作中总结出来的一套“杂志级商务图表沟通方法”,告诉读者如何设计和制作达到杂志级质量的、专业有效的商务图表,作者对诸如《商业周刊》、《经济学人》等全球顶尖商业杂志上的精彩图表案例进行分析,给出其基于Excel的实现方法,包括数据地图、动态图表、仪表板等众多高级图表技巧。 本书提供大量图表模板源文件,包括详细的制作步骤,提供网上下载。提供博客支持。 本书定位于中高级Ex......一起来看看 《Excel图表之道》 这本书的介绍吧!

HTML 压缩/解压工具
HTML 压缩/解压工具

在线压缩/解压 HTML 代码

XML、JSON 在线转换
XML、JSON 在线转换

在线XML、JSON转换工具

RGB CMYK 转换工具
RGB CMYK 转换工具

RGB CMYK 互转工具