社区应用 最新帖子 精华区 社区服务 会员列表 统计排行
发帖 回复
« 返回列表
  • 522阅读
  • 2回复

[分享]HW行动 - .Net+窃密样本分析

 楼层直达
z3960 
级别: 茶馆馆主
发帖
770867
飞翔币
207694
威望
215657
飞扬币
2511641
信誉值
8
只看楼主 更多操作 0 发表于: 2021-03-06



一、样本概述


样本“CHUAN PROJECT 1-22_pdf.exe”为.net程序,伪装为境外阅读软件(俄文)。通过连续释放、解密、执行加密的各个木马文件,窃取用户的各种登录凭证与密码,通过邮件发送,并能够设置计划任务自启。
样本文件相关
释放文件功能
CHUAN PROJECT 1-22_pdf.exe伪装的木马
WinRar.dll解压执行的中间文件
B2B.dll环境检查、执行、注入
CrZEdznRJeUvvUsgKRdjI.exe窃密程序

提取邮箱打码处理后
登录邮箱*.origin@*.com
邮箱key*Np0
登录的邮箱主机*.smtp. *.com
接收地址*.origin@*.com
发送地址*.origin@*.com


二、样本类型


样本类型为密码窃取。

三、详细分析



3.1 执行释放



释放WinRar.dll用于解压

解压B2B.dll所需的资源与key

解压并加载执行B2B.dll

B2B.dll

反调试检查

反病毒环境检查

解密文件 与 注入函数

设置计划任务

下载功能(未使用)

B2B.dll的部分功能
B2B.dll解密其资源v1pqmF2h,得到如下可执行文件

CrZEdznRJeUvvUsgKRdjI.exe反混淆处理

3.2 攻击细节



3.2.1 键盘记录



注册键盘钩子

键盘消息

键盘钩子回调

3.2.2 密码窃取


遍历Windows各类密码凭证的guid,读取对应key:

收集guid

收集的guid
遍历用户目录下的各类浏览器保存的密码凭证:

查找qq浏览器

遍历结果

上图:寻找“logins”凭证

上图:查询注册表寻找FTP凭证

上图:保存上述窃取的各类登录凭证

邮件发送

smtp协议发送邮件
解密对应邮箱地址和smtp协议key:
登录邮箱*.origin@*.com
邮箱key*Np0
登录的邮箱主机*.smtp. *.com
接收地址*.origin@*.com
发送地址*.origin@*.com

打码处理

四、样本特征



4.1 文件hash

NameMd5
CHUAN PROJECT 1-22_pdf.execc9edea782c5b8713378e3f6d92cf0ab
WinRar.dll1ac41b03e64317c64c23c13f9a50857b
B2B.dllaf3616a06c56f710cc67b3e66f9230f5
CrZEdznRJeUvvUsgKRdjI.exe53467c50585fc99dcbf66790a5e635a8
分享到 淘江湖 新浪 QQ微博 QQ空间 开心 人人 豆瓣 网易微博 百度 鲜果 白社会 飞信
我不喜欢说话却每天说最多的话,我不喜欢笑却总笑个不停,身边的每个人都说我的生活好快乐,于是我也就认为自己真的快乐。可是为什么我会在一大群朋友中突然地就沉默,为什么在人群中看到个相似的背影就难过,看见秋天树木疯狂地掉叶子我就忘记了说话,看见天色渐晚路上暖黄色的灯火就忘记了自己原来的方向。
回复 引用
举报
任逍遥 
级别: 超级版主
发帖
833891
飞翔币
226638
威望
224648
飞扬币
2444032
信誉值
0
只看该作者 1 发表于: 2021-03-07
来看一下
回复 引用
举报
任逍遥 
级别: 超级版主
发帖
833891
飞翔币
226638
威望
224648
飞扬币
2444032
信誉值
0
只看该作者 2 发表于: 2021-03-07
不错,了解了
回复 引用
举报
发帖 回复
« 返回列表