社区应用 最新帖子 精华区 社区服务 会员列表 统计排行
  • 80阅读
  • 6回复

[分享]天台人满为患,不如来看下这个 Ramnit 蠕虫分析!

楼层直达
z3960 
级别: 茶馆馆主
发帖
476699
飞翔币
121358
威望
4102
飞扬币
2499379
信誉值
8

今年的世界杯越来越看不懂,想去天台吹吹风都不一定有位置…心凉了,事儿还得做,先从网上抓个可疑样本压压惊!上手分析才发现并没有我想得那么简单...一、基本信息
  MD5  
ff5e1f27193ce51eec318714ef038bef
  文件大小  
55 KB
  运行平台  
Windows
  Sha256  
fd6c69c345f1e32924f0a5bb7393e191b393a78d58e2c6413b03ced7482f2320
拿到可疑文件第一时间扔到“虚拟执行环境”中先让它自己可劲儿折腾一番,咱只需要坐在老板椅上,翘着二郎腿,喝着茶,唱着歌,没一会儿功夫分析报告就出来啦~
图:微步云沙箱报告截图
简单看下报告的概要信息,有 Ramnit 标签。Ramnit 蠕虫是一种通过可移动驱动器传播的蠕虫。该蠕虫还可以作为后门,允许远程攻击者访问受感染的计算机,通常会寄生在用户的浏览器中,难以察觉,因此每天都有数以万计的用户受其困扰。二、行为分析上手之前准备工作要做足,先梳理下流程: 2.1 首先使用 PEID 查壳,发现具有 UPX 壳,UPX 壳比较好脱,T 友们可以自行脱壳 2.2 过了一层壳之后,接着又是一段解密代码,一直走下去,最终又会回到 0x00400000 地址段中,你会发现,和源程序一样,是经过 UPX 加壳的。 2.3 依照同样的方法跳过 UPX 壳后,就进入到样本的主体程序。样本首先会查询系统默认的浏览器路径,如果查询失败就使用IE浏览器(后期用来进行进程注入),如果两个方法都失败,就会退出程序。 2.4 通过检查互斥体 KyUffThOkYwRRtgPP 是否已经存在来保证同一时间只有一个实例在运行。 2.5 进程名校验,样本会首先判断自己的进程名是否为 DesktopLayer.exe,如果是的话,就退出此函数,如果不是,就会构造 c:program filesmicrosoft 目录,然后将自身拷贝的此目录下,并命名为 DesktopLayer.exe,然后启动此程序。 2.6 当自身进程名为 DesktopLayer.exe 时,将会对函数 ZwWriteVirtualMemory 进行 Inline Hook,回调函数如下: 2.7 接着创建进程,此进程为开头获得的浏览器进程,在进程创建时会调用 ZwWriteVirtualMemory 函数,而这个函数已经被 hook 并跳转到 sub_402A59,此函数的主要功能就是对启动的目标进程进行进程注入,并将一个 PE 文件写入目标进程,写入的 PE 文件原本是嵌入在自身文件中的。使用 16 进程程序可以发现,脱壳后的样本中嵌入的 PE。 2.8 注入完之后会还原 ZwWriteVirtualMemory 的代码。三、详细分析经过这么多的操作,其实它的重点行为才刚刚开始。3.1 使用 OD 附加到目标程序,经过几个函数的调用就会进入到嵌入的 PE 文件中,程序结构比较清晰。 3.2 创建不同的线程执行不同的功能,下面对其中几个比较重要的线程进行说明:Sub_10007ACA:将自身文件路径写入注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit,实现自启动。 Sub_1000781F:在 c:program filesInternet Explorer 下创建 dmlconf.dat 文件,并写入 FILETIME 结构体数据。Sub_10005906:此线程没有被运行,不过通过对代码的静态分析,发现它会监听 4678 端口,等待连接。收到连接后会接受命令并执行对应的操作。所以猜测此线程为一个后门,用来接收攻击者的命令. Sub_1000749F:此函数中会创建两个线程。 其中 Sub_10006EA8 用于感染 exe,dll,html,htm文件,总体思路都是将自身文件写入到目标文件中,例如下图感染的 htm 文件。写入的是一个 VB 脚本,变量 WriteData 存储的是一个 PE 文件。 受感染的 PE 文件会多处一个 rmnet 段。 Sub_10006EC2:感染可移动介质,他会将自身写入到可移动介质,并在目录下创建 autorun.ini 文件,然后写入如下数据:[autorun]..action=Open..icon=%WinDir%system32shell32.dll,4..shellexecute=.RECYCLERS-1-7-42-5416413684-3444774702-722318625-0540AbxOgufK.exe..shellexplorecommand=.RECYCLERS-1-7-42-5416413684-3444774702-722318625-0540AbxOgufK.exe..USEAUTOPLAY=1..shellOpencommand=.RECYCLERS-1-7-42-5416413684-3444774702-722318625-0540AbxOgufK.exe其中 AbxOgufK.exe 即为自身程序。分析过程中发现的域名 fget-career.com,经查询得知为恶意域名。 四、总结深知自己分析能力有限,其实就是想抛块砖嘛(内心无比的鄙视自己...),样本分析是个技术活,也要耐得住寂寞,没有一款解闷的好工具怎么行?这次用的微步云沙箱提前为我多维度的检测样本,省力又省心,感兴趣的朋友可以多用用哈~P.S. 天台上的 T 友们快下来吧!这么多恶意软件等着你们来分析呢!世界需要你们来守护~T 友们可以到微步云沙箱查看分析报告,继续深度分析,报告地址如下:fd6c69c345f1e32924f0a5bb7393e191b393a78d58e2c6413b03ced7482f2320超链接不行的话,就麻烦大家复制网址查看了:https://s.threatbook.cn/report/file/fd6c69c345f1e32924f0a5bb7393e191b393a78d58e2c6413b03ced7482f2320/?env=win7_sp1_enx86_office2013&utm_campaign=analysis&utm_medium=tz&utm_source=Adconly&gio_link_id=bR7G85RG(管理员是不是调整一下编辑器)


图片 2.2.png (160.35 KB, 下载次数: 4)


微信截图_20181105105744.png (150.59 KB, 下载次数: 3)

我不喜欢说话却每天说最多的话,我不喜欢笑却总笑个不停,身边的每个人都说我的生活好快乐,于是我也就认为自己真的快乐。可是为什么我会在一大群朋友中突然地就沉默,为什么在人群中看到个相似的背影就难过,看见秋天树木疯狂地掉叶子我就忘记了说话,看见天色渐晚路上暖黄色的灯火就忘记了自己原来的方向。
级别: 光盘初级
发帖
450
飞翔币
66
威望
228
飞扬币
22
信誉值
0
只看该作者 1 发表于: 03-25
来看看了
级别: 光盘初级
发帖
450
飞翔币
66
威望
228
飞扬币
22
信誉值
0
只看该作者 2 发表于: 03-25
就是看看
级别: 光盘见习
发帖
25
飞翔币
4
威望
2
飞扬币
92
信誉值
0
只看该作者 3 发表于: 03-25
今年有世界杯吗,是奥运会吧,版主大大。
大家好
级别: 超级版主
发帖
531830
飞翔币
122058
威望
223038
飞扬币
914064
信誉值
0

只看该作者 4 发表于: 03-25
来看一下
级别: 超级版主
发帖
531830
飞翔币
122058
威望
223038
飞扬币
914064
信誉值
0

只看该作者 5 发表于: 03-25
不错,了解了
级别: 茶馆馆主
发帖
341627
飞翔币
132571
威望
2080
飞扬币
1737599
信誉值
0

只看该作者 6 发表于: 03-25
多谢分享