招新小广告运营组招收运营人员、CTF组诚招re、crypto、pwn、misc、合约方向的师傅,长期招新IOT+Car+工控+样本分析多个组招人有意向的师傅请联系邮箱
[email protected](带上简历和想加入的小组
样本来源于某吧。
lanzou下载页面。
基本信息
压缩包文件MD5:20e55714f525da09ee693ffeae970d26,压缩包内信息如下:
VT报毒,主要是这个exe文件(MD5:b78f0af88d811d3e4d92f7cd03754671)。
该exe文件于北京时间2024-06-11 00:45:18被首次提交到VT,在压缩包内该文件的修改时间为2024-06-10 00:06:12,原名称为Spark.NELauncher.UI.exe或Spark.LocalServer.exe 。
UPX打包。
分析
上传至沙箱,沙箱报告:https://sandbox.qianxin.com/tq/report/toViewReport.do?rid=93eed170a7b26eee01926b8aaa171e30&index=4&sk=74790203&devsk=&debug=false
关键的行为是在用户临时文件夹目录释放并执行了一个名为kook网截.vmp.exe 的文件
然后导致了系统蓝屏,蓝屏代码0xc000021a。
脱壳之后定位WinMain,获取当前文件路径,读取文件,三次RC4解密。
第一次RC4解密的密钥为{F918FE01-164A-4e62-9954-EDC8C3964C1B},解密了一些配置信息,主要是两个文件名称,Spark.LocalServer.exe以及kook网截.vmp.exe
第二次RC4解密的密钥为{E5A42E7E-8130-4f46-BECC-7E43235496A6},第二次RC4解密的密钥为{ADAB6D32-3994-40e2-8C18-2F226306408C},分别解密了Spark.LocalServer.exe和kook网截.vmp.exe,获取用户临时目录创建一个Temp目录,把自身和kook网截.vmp.exe释放到Temp目录下,并启动程序。
引发了一个异常,然后蓝屏。
蓝屏重新启动后黑屏显示一个qq号,典型的MBR勒索病毒。
搜索这个qq。
搜索引擎搜索这个qq,然后在360社区发现近期有人中招了。
沙箱分析kook网截.vmp.exe(MD5:cbbf49022b4224d4976c4c598a9b7bb4),分析报告:https://sandbox.qianxin.com/tq/report/toViewReport.do?rid=b5b8a26c232aefd4a28ed536473998a1&sk=92274402
搜索该网站,发现这个”易语言5.7“,猜测用的这个版本的编译器。
关键行为,
kook网截.vmp.exe基本信息
易语言实际上基于MFC的,依赖于mfc的消息派发机制。定位到关键函数,一系列初始化操作,其中易语言会创建了一个隐藏的窗口,类名为_EL_HideOwner。
x32dbg打开,直接搜索字符串。
网上搜索相关字符串,这个MBR勒索使用了易语言无名神锁模块,这种的原理就是覆写MBR。
通过文件操作的方式写入的部分数据如下:
这里就是非常典型的特征。
密码如下图,按住alt ,用小键盘依次输入206 210 176 174 212 173 201 241,即为正确密码,然而实际过程中会卡住…… ,这个转为gbk编码就是x32dbg搜索字符串图中的第二个结果,这也意味着这种类型的密码可以明文搜索到,或者下断点到自定义显示内容或\.\physicaldrive0。对于这种情况,更为通用的方法就是制作WinPE U盘,使用U盘启动,然后利用DiskGenius等软件搜索已丢失分区表(重建分区表),保存更改修复成功并重启即可。
搜索这个RC4密钥 {F918FE01-164A-4e62-9954-EDC8C3964C1B}。
一模一样的手法,都是易语言开发的。
原文始发于微信公众号(ChaMd5安全团队):敲竹杠木马分析:虚假的植物大战僵尸杂交版
