长亭百川云 - 文章详情

敲竹杠木马分析:虚假的植物大战僵尸杂交版

ChaMd5安全团队

76

2024-07-13

招新小广告运营组招收运营人员、CTF组诚招re、crypto、pwn、misc、合约方向的师傅,长期招新IOT+Car+工控+样本分析多个组招人有意向的师傅请联系邮箱

admin@chamd5.org(带上简历和想加入的小组

样本来源于某吧。

lanzou下载页面。

基本信息

压缩包文件MD5:20e55714f525da09ee693ffeae970d26,压缩包内信息如下:

VT报毒,主要是这个exe文件(MD5:b78f0af88d811d3e4d92f7cd03754671)。

image-20240616134415918

该exe文件于北京时间2024-06-11 00:45:18被首次提交到VT,在压缩包内该文件的修改时间为2024-06-10 00:06:12,原名称为Spark.NELauncher.UI.exe或Spark.LocalServer.exe 。

image-20240616134705942

UPX打包。

分析

上传至沙箱,沙箱报告:https://sandbox.qianxin.com/tq/report/toViewReport.do?rid=93eed170a7b26eee01926b8aaa171e30&index=4&sk=74790203&devsk=&debug=false

关键的行为是在用户临时文件夹目录释放并执行了一个名为kook网截.vmp.exe 的文件

然后导致了系统蓝屏,蓝屏代码0xc000021a。

脱壳之后定位WinMain,获取当前文件路径,读取文件,三次RC4解密。

第一次RC4解密的密钥为{F918FE01-164A-4e62-9954-EDC8C3964C1B},解密了一些配置信息,主要是两个文件名称,Spark.LocalServer.exe以及kook网截.vmp.exe

第二次RC4解密的密钥为{E5A42E7E-8130-4f46-BECC-7E43235496A6},第三次RC4解密的密钥为{ADAB6D32-3994-40e2-8C18-2F226306408C},分别解密了Spark.LocalServer.exe和kook网截.vmp.exe,获取用户临时目录创建一个Temp目录,把自身和kook网截.vmp.exe释放到Temp目录下,并启动程序。

引发了一个异常,然后蓝屏。

蓝屏重新启动后黑屏显示一个qq号,典型的MBR勒索病毒。

image-20240617170227162

搜索这个qq。

搜索引擎搜索这个qq,然后在360社区发现近期有人中招了。

沙箱分析kook网截.vmp.exe(MD5:cbbf49022b4224d4976c4c598a9b7bb4),分析报告:https://sandbox.qianxin.com/tq/report/toViewReport.do?rid=b5b8a26c232aefd4a28ed536473998a1&sk=92274402

搜索该网站,发现这个”易语言5.7“,猜测用的这个版本的编译器。

关键行为,

kook网截.vmp.exe基本信息

易语言实际上基于MFC的,依赖于mfc的消息派发机制。定位到关键函数,一系列初始化操作,其中易语言会创建了一个隐藏的窗口,类名为_EL_HideOwner。

x32dbg打开,直接搜索字符串。

网上搜索相关字符串,这个MBR勒索使用了易语言无名神锁模块,这种的原理就是覆写MBR。

image-

通过文件操作的方式写入的部分数据如下:

这里就是非常典型的特征。

密码如下图,按住alt ,用小键盘依次输入206 210 176 174 212 173 201 241,即为正确密码,然而实际过程中会卡住...... ,这个转为gbk编码就是x32dbg搜索字符串图中的第二个结果,这也意味着这种类型的密码可以明文搜索到,或者下断点到自定义显示内容或\\.\\physicaldrive0。对于这种情况,更为通用的方法就是制作WinPE U盘,使用U盘启动,然后利用DiskGenius等软件搜索已丢失分区表(重建分区表),保存更改修复成功并重启即可。

搜索这个RC4密钥 {F918FE01-164A-4e62-9954-EDC8C3964C1B}。

一模一样的手法,都是易语言开发的。

- END -

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2