一个botnet的样本分析 - 〖系统安全〗

z3960

级别: FLY版主

发帖: 786303

飞翔币: 211574

威望: 215717

飞扬币: 2615486

信誉值: 8

只看楼主更多操作 0 发表于: 2020-08-25

一个botnet的样本分析

前言

样本涉及的网络结构和设计模式比较陌生。对于我来说值得一看，可能有些地方理解不准确请海涵轻锤，但是深入研究，会发现这个样本越看越有意思，并且会有不少收获。

环境与工具

win 7 64位、IDA 7.0、exeinfo、OD

分析

其样本整体行为如下，中间有涉及hook和隐藏自身模块等操作还是可以学习的，其中隐藏模块自己实现了一下，但样本本身最有意思的地方还是网络通信。

静态分析

样本基本信息

文件名称	crashreporter.exe
MD5	41a867c465464efa23b2451ae1367396
SHA256	6c362198a8879579c074ee8b0b14e712e059ff7f6037305e26f6d9ed47c6d39b
大小	116.00 KB
类型	Win32 EXE
作用(下载/释放)	释放执行
打包/编译语言	Microsoft Visual C++ ver. 8.0 / Visual Studio 2005 [ Debug:02 ]
编译/保存日期	2015:05:20 12:48:00+01:00
pdb	C:cc694wkwx4wiefw4bv7mmx67nqxrcsge0q09q2qnpp4gxrl9e7xl4n6aq.pdb

静态拖入IDA，发现代码加密

查壳，发现无壳，不过代码应该还是被压缩了

动态分析

首先利用rdtsc进行反调试

调用VirtualProtectEx修改内存属性

代码解密

利用jmp指令跳转到解密代码

利用fs:[30]获取指定模块基址，通过获取Loadlibrary和Getprocaddress，然后利用GetProcAddress获取指定API

申请空间，并拷贝相应数据到该空间

申请空间并解压数据

解压之后发现该段数据为一个PE文件

接下来就是样本自身编写的一个PE Loader
修改自身PE内存属性，并将解密后的PE拷贝到原PE内存

重定位

获取API

修复内存属性

最后跳转到修改后的PE入口点

我们将其dump下来，此时就是恶意软件的本体了，对其进行分析
首先判断是否存在参数 /pid

对 ZwQueryVirtualMemory 进行Hook

我们查看该段代码

对其进行分析可以发现该段代码是对付沙箱的内存扫描，调用该函数会返回一段虚假的内存以欺骗沙箱

返回来，继续分析，通过申请空间，拷贝映像，并利用UnmapViewOfFile释放之前的映射的本体内存,这里可以自己写代码实现

发现找不到自身模块了

我们自己把代码抠出来，以后可以自己用#include <iostream>#include <Windows.h>void My_UnmapViewOfFile(){ DWORD Imagebase; DWORD dwsize; DWORD lpaddr; char* result; LPVOID (*DwVirtualAlloc)(LPVOID lpAddress,SIZE_T dwSize,DWORD flAllocationType,DWORD flProtect); __asm { call $+5 mov lpaddr,eax mov eax, fs: [0x30] mov eax, [eax + 0x8] mov Imagebase, eax mov eax, [eax + 0x3c] add eax, Imagebase mov eax, [eax + 0x50] mov dwsize, eax mov eax, ds:VirtualAlloc mov DwVirtualAlloc, eax } if (UnmapViewOfFile((LPVOID)Imagebase)) { if (DwVirtualAlloc((LPVOID)Imagebase, dwsize, 0x3000u, 0x40u) == (LPVOID)Imagebase) { __asm { mov ecx, dwsize mov esi, lpaddr mov edi, Imagebase rep movsb } } } return;}int main(){ DWORD Imagebase = 0; DWORD dwsize = 0; char* result; void (*lpAddress)(void); __asm { mov eax, fs:[0x30] mov eax,[eax+0x8] mov Imagebase,eax mov eax, [eax+0x3c] add eax, Imagebase mov eax, [eax+0x50] mov dwsize, eax } result = (char*)VirtualAlloc(NULL, dwsize + 0x200, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE); lpAddress = (void (*)(void))result; if (result) { memcpy(result, My_UnmapViewOfFile, 0x200u); memcpy(result + 0x200, (const void*)Imagebase, dwsize); lpAddress(); VirtualFree(lpAddress, 0, 0x8000u); result = (char*)1; } ShellExecute(NULL, NULL, L"calc.exe", NULL, NULL, NULL);}
设置Token

解密字符串并拼接

与当前目录进行比较，若存在指定目录则直接返回，否则，继续执行

查看当前是否位admin用户，如果不是则创建两个线程

这两个线程执行以下操作
线程1 :
以admin用户进行启动

线程2:
虚拟键盘输入空格

创建名为syshost的服务，如果存在该服务，则先删除该服务，然后再次创建

尝试开启服务，如果开启失败，则不在利用服务进行自启动，而是通过注册表进行自启动

移动源文件到临时目录

最后清理文件，结束该进程

我们可以看到该进程再驻留时存在两种启动方式，一种是加参数 service的服务启动，还有一种是直接注册表不加参数再指定目录直接启动的方式，二者无论以什么方式启动，其最终的行为是类似的。
我们首先分析直接启动的方式，经过之前的分析，我们定位到比较指定目录的地方，即上文中的下图，我们可以看到此时该函数直接返回

返回之后执行如下代码

我们没有参数，所以执行的是函数 00405BAC这个函数
进入该函数，首先判断进程类型

设置安全级别到最低，并且创建事件。其事件名分别为之前的解密字符串 Global/NitrGB 和 Local_NitrGB

设置错误处理函数，查看异常所在线程及其原因

之后遍历进程，排除自身对其他进程进行代码注入

注入采用CreateRemoteThread的方式

利用特殊指令检查虚拟机

更改并设置防火墙规则

解密内置域名

解密内置ip，总共有32个

获取卷GUID

根据卷GUID查询相关注册表

解码样本内置数据并利用WinAPI进行加密

将加密后的数据写入临时文件中

并复制其数据到注册表中

利用p2p进行网络连接
首先获取随机端口

进入主函数
开放tcp和udp的随机端口，并创建一个线程

进入该线程，该线程功能为通过发送请求到其他bot，解析接收到的内容并更新自己的bot list或者C2或者ip list 或者发送内容到bot list中的任意bot,默认每5S发送一次，这段代码要好好看一下，如果能够理解，真的挺有意思的。

之后设置注册表，其值为随机端口进行加密后的值

其后再次查询并设置一系列注册表

开始进行网络连接, 利用C2进行数据的更新和恶意软件的分发

利用facebook.com和microsoft.com进行网络测试

创建4个线程

并4个线程中获取随机的域名迷惑分析者并通过对其进行DNS查询，将可以查询到的ip数据保存在一个列表中

对DNS查询的ip与之前获取facebook.com和microsoft.com的信息进行对比，确保不等于这两个ip的地址

然后连接硬编码域名,进行数据传输，获取当前精确时间

完成之后开始真正的C2连接
首先第一种就是硬编码的域名进行连接

第二种方式就是利用硬编码的Ip进行连接

如果C2连接成功之后，减慢bot之间的连接，变为每60S请求一次

如果以上两种连接不成功则加快bot之间的通信变为每一秒请求一次，利用第三种方法继续尝试C2的连接.

第三种方式，分为两部分拼接域名
第一部分

第二部分，获取后缀

最后进行数据的传输与交互

返回数据需要解密等复杂操作，故根据之前的分析，对其只能静态分析，不过我们可以看到后续的部分操作
如更新Botlist

代码执行

创建驱动文件等操作

结语

路漫漫其修远兮，吾将上下而求索。