样本来源如下,感谢分享~
白加黑_病毒样本 分享&分析区_安全区 卡饭论坛 – 互助分享 – 大气谦和!
初步研判
SHA256:7c5300cd3875efea725f51d089412b81922d81dc60d2420090aaede92a16477e
把压缩包整体丢入微步云沙箱中,可以看到样本已被判黑
检测系统判断为银狐样本
行为分析中hook到了可疑ip,不过是国内的,先保留
内存dump的文件基本都为恶意
文件分析
如图所示,大概率是一个白加黑
行为分析
进程行为
没有子进程调用
我们可以看到文件加载了文件分析中的可疑dll
文件行为
只写入了日志文件
注册表行为
如图所示写入了很多注册表但是大部分为CLSID,与权限维持无关
网络行为,和初步研判中的ip一致
详细分析
我们进入黑dll,导出函数只有两个,main中无内容
还有一个函数为空,应该都是用于白文件调用时不报错创建的
所以我们就只需要看DataImporterMain()了
首先是一段意义不明的运算,跟核心功能没什么关系,我们暂且略过
然后把字符载入到了this中
接下来把上面传的字符串导入下一个函数
在此函数中,查询启动目录
|
1
|
C:Users<用户名>AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup |
这里缺少一个C://Users//Public//Documents//WallPaper.lnk,可能需要用户在看看,这个文件会被复制到
<用户名>AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup目录下。这两个文件都需要删除
不过这并不影响我们后续的分析,因为不管有没有,文件运行后都会执行shellcode
根据分析,.c文件的数据解密方式为先异或key hex: 12 34 56 78
然后取反就可以得到shellcode了,然后调用载荷
载荷就不做详细的分析了,一看就是模板
稍微截取一下c2
单独把shellcode转成pe,丢进微步云沙箱中就可以看到家族类型
同样也可以找到特征
IOC
|
1
|
154.198.53.165 |
根据c2丢入x情报社区,可以发现已被归类为银狐c2
