社区应用 最新帖子 精华区 社区服务 会员列表 统计排行
  • 918阅读
  • 2回复

[分享]Emotet 银行木马简析

楼层直达
z3960 
级别: 茶馆馆主
发帖
770868
飞翔币
207694
威望
215657
飞扬币
2511641
信誉值
8

下载该样本的文件是一枚doc文件,在doc文件中写有恶意宏代码,会下载并运行emotet 木马,木马运行后会利用GetCommandLineA函数判断是否是第一次运行,不是第一次运行就利用CreateProcessw创建一个同名的子进程,同时利用lpCommandLine参数传递命令,让GetCommandLineA判断是否是第一次运行该样本,创建了子进程后随即退出主进程。子进程接收了命令后不再进行创建子进程,跳转入恶意代码处,子进程运行后会把自身数据进行复制并重新随机命名保存到系统文件夹内,并设置window系统服务进行持久化。重新命名后的样本启动后会继续创建子进程传递相关命令,子进程判断了传递命令正确后会跳入到核心代码处,会收集计算机的一些敏感信息如计算机名,计算机内的所有进程名等信息,进行des加密,发送到目标服务器中,并读取目标服务器中的数据信息。doc文件:Hash:1b602f921b641d7645c2ae2ada628560a053d5e4大小:186kb打开文件后 其搭载的宏代码 vt对其代码的检测 触发宏代码后,获取到最终执行的powershell命令,并对相关字符进行base64解码处理后,宏代码在4个链接中遍历下载重命名emotet木马运行,下载的PE文件经判别是emotet木马 emotet 简单分析      样本核心代码是经过加密的用IDA只能到达核心代码的入口 解密完后进入核心代码 获取系统信息 获取路径 接收命令 对获取到的命令进行判别,如果正确就进入到核心代码不正确就创建子进程 创建子进程,传递命令,随后退出主线程 因为子线程执行了相关命令后也退出了,所以用模拟一个命令的方法进行调试这个“子进程” 一如前面的操作到判别是否是"子进程"后进入核心代码处。连续创建了两个互斥体,第一个互斥体 第二个互斥体 利用CreateEventW函数打开创建的互斥体事件,随后利用SignalObjectAndWait函数进行发送信号通知一个对象然后作为单个操作等待另一个对象 进行消息捕获,同时在用户文件夹Temp内创建tmp文件将自身数据复制作为副本 创建在Windows 目录下创建文件,将自身数据复制过去 为这个程序创建系统服务,做持久化 makerleel.exe将数据复制重命名生成makerleel.exe文件,又设置window系统服务启动后,和之前行为一样,先判断创建子进程将命令导入执行,判断命令正确否后执行关键代码 以同样的办法模拟进入‘’子进程‘’后生成一个des秘钥 遍历进程信息进程存储 解密出回连ip进行构建请求头后将获取的相关敏感数据发送到目标ip 数据发送过去后,样本还将进行读取来自服务器的相关数据进行下一步行为,该ip目前或已被制裁,无数据回馈 至此完结上传一份主体样本网络包,有兴趣分析的可以看看链接: https://pan.baidu.com/s/1AmtAmksRHTqvFx0QuvTTMw 提取码: zzxy 复制这段内容后打开百度网盘手机App,操作更方便哦
我不喜欢说话却每天说最多的话,我不喜欢笑却总笑个不停,身边的每个人都说我的生活好快乐,于是我也就认为自己真的快乐。可是为什么我会在一大群朋友中突然地就沉默,为什么在人群中看到个相似的背影就难过,看见秋天树木疯狂地掉叶子我就忘记了说话,看见天色渐晚路上暖黄色的灯火就忘记了自己原来的方向。
级别: 超级版主
发帖
830456
飞翔币
224550
威望
224618
飞扬币
2422758
信誉值
0

只看该作者 2 发表于: 2020-01-15
不错,了解了
级别: 超级版主
发帖
830456
飞翔币
224550
威望
224618
飞扬币
2422758
信誉值
0

只看该作者 1 发表于: 2020-01-15
来看一下