敲竹杠木马分析:虚假的植物大战僵尸杂交版

招新小广告运营组招收运营人员、CTF组诚招re、crypto、pwn、misc、合约方向的师傅,长期招新IOT+Car+工控+样本分析多个组招人有意向的师傅请联系邮箱

[email protected](带上简历和想加入的小组

样本来源于某吧。

敲竹杠木马分析:虚假的植物大战僵尸杂交版

lanzou下载页面。

敲竹杠木马分析:虚假的植物大战僵尸杂交版

基本信息

压缩包文件MD5:20e55714f525da09ee693ffeae970d26,压缩包内信息如下:

敲竹杠木马分析:虚假的植物大战僵尸杂交版

VT报毒,主要是这个exe文件(MD5:b78f0af88d811d3e4d92f7cd03754671)。

敲竹杠木马分析:虚假的植物大战僵尸杂交版

image-20240616134415918

该exe文件于北京时间2024-06-11 00:45:18被首次提交到VT,在压缩包内该文件的修改时间为2024-06-10 00:06:12,原名称为Spark.NELauncher.UI.exe或Spark.LocalServer.exe 。

敲竹杠木马分析:虚假的植物大战僵尸杂交版

image-20240616134705942

UPX打包。

敲竹杠木马分析:虚假的植物大战僵尸杂交版

分析

上传至沙箱,沙箱报告:https://sandbox.qianxin.com/tq/report/toViewReport.do?rid=93eed170a7b26eee01926b8aaa171e30&index=4&sk=74790203&devsk=&debug=false

关键的行为是在用户临时文件夹目录释放并执行了一个名为kook网截.vmp.exe 的文件

敲竹杠木马分析:虚假的植物大战僵尸杂交版

然后导致了系统蓝屏,蓝屏代码0xc000021a。

敲竹杠木马分析:虚假的植物大战僵尸杂交版

脱壳之后定位WinMain,获取当前文件路径,读取文件,三次RC4解密。

敲竹杠木马分析:虚假的植物大战僵尸杂交版

第一次RC4解密的密钥为{F918FE01-164A-4e62-9954-EDC8C3964C1B},解密了一些配置信息,主要是两个文件名称,Spark.LocalServer.exe以及kook网截.vmp.exe

敲竹杠木马分析:虚假的植物大战僵尸杂交版

第二次RC4解密的密钥为{E5A42E7E-8130-4f46-BECC-7E43235496A6},第二次RC4解密的密钥为{ADAB6D32-3994-40e2-8C18-2F226306408C},分别解密了Spark.LocalServer.exe和kook网截.vmp.exe,获取用户临时目录创建一个Temp目录,把自身和kook网截.vmp.exe释放到Temp目录下,并启动程序。

敲竹杠木马分析:虚假的植物大战僵尸杂交版

引发了一个异常,然后蓝屏。

敲竹杠木马分析:虚假的植物大战僵尸杂交版

蓝屏重新启动后黑屏显示一个qq号,典型的MBR勒索病毒。

敲竹杠木马分析:虚假的植物大战僵尸杂交版

image-20240617170227162

搜索这个qq。

敲竹杠木马分析:虚假的植物大战僵尸杂交版

搜索引擎搜索这个qq,然后在360社区发现近期有人中招了。

敲竹杠木马分析:虚假的植物大战僵尸杂交版

沙箱分析kook网截.vmp.exe(MD5:cbbf49022b4224d4976c4c598a9b7bb4),分析报告:https://sandbox.qianxin.com/tq/report/toViewReport.do?rid=b5b8a26c232aefd4a28ed536473998a1&sk=92274402

敲竹杠木马分析:虚假的植物大战僵尸杂交版

搜索该网站,发现这个”易语言5.7“,猜测用的这个版本的编译器。

敲竹杠木马分析:虚假的植物大战僵尸杂交版

关键行为,

敲竹杠木马分析:虚假的植物大战僵尸杂交版

kook网截.vmp.exe基本信息

敲竹杠木马分析:虚假的植物大战僵尸杂交版

易语言实际上基于MFC的,依赖于mfc的消息派发机制。定位到关键函数,一系列初始化操作,其中易语言会创建了一个隐藏的窗口,类名为_EL_HideOwner。

敲竹杠木马分析:虚假的植物大战僵尸杂交版

x32dbg打开,直接搜索字符串。

敲竹杠木马分析:虚假的植物大战僵尸杂交版

网上搜索相关字符串,这个MBR勒索使用了易语言无名神锁模块,这种的原理就是覆写MBR。

敲竹杠木马分析:虚假的植物大战僵尸杂交版

image-

通过文件操作的方式写入的部分数据如下:

敲竹杠木马分析:虚假的植物大战僵尸杂交版

这里就是非常典型的特征。

敲竹杠木马分析:虚假的植物大战僵尸杂交版

密码如下图,按住alt ,用小键盘依次输入206 210 176 174 212 173 201 241,即为正确密码,然而实际过程中会卡住…… ,这个转为gbk编码就是x32dbg搜索字符串图中的第二个结果,这也意味着这种类型的密码可以明文搜索到,或者下断点到自定义显示内容或\.\physicaldrive0。对于这种情况,更为通用的方法就是制作WinPE U盘,使用U盘启动,然后利用DiskGenius等软件搜索已丢失分区表(重建分区表),保存更改修复成功并重启即可。

敲竹杠木马分析:虚假的植物大战僵尸杂交版

搜索这个RC4密钥 {F918FE01-164A-4e62-9954-EDC8C3964C1B}。

敲竹杠木马分析:虚假的植物大战僵尸杂交版

一模一样的手法,都是易语言开发的。

敲竹杠木马分析:虚假的植物大战僵尸杂交版

– END –

敲竹杠木马分析:虚假的植物大战僵尸杂交版

原文始发于微信公众号(ChaMd5安全团队):敲竹杠木马分析:虚假的植物大战僵尸杂交版

版权声明:admin 发表于 2024年6月21日 上午8:05。
转载请注明:敲竹杠木马分析:虚假的植物大战僵尸杂交版 | CTF导航

相关文章