安全分析与研究
专注于全球恶意软件的分析与研究
前言概述
原文首发出处:
https://xz.aliyun.com/t/14505
先知社区 作者:熊猫正正
笔者最近逛malware-traffic-analysis网站,发现有一个新的Loader比较有意思,利用WORD中包含的恶意宏代码加载SSLOAD恶意软件,然后下载安装CS木马,如下所示:
从该网站下载样本之后,对恶意文档以及SSLOAD的加载过程进行了详细分析,供大家参考学习。
详细分析
1.恶意文档包含宏代码,如下所示:
2.当关闭文档的时候,会自动执行AutoClose()函数,使用MSXML2.DomDocument对象来加载和转换存储在UserForm1表单上标签的Caption属性中包含的XML字符串内容,如下所示:
3.通过分析该XML文件内容前面包含的特征字符串#@~^,以及前面的语言特征jscript.encode,可以发现该字符串是通过JScript.Encode加密的,如下所示:
4.使用scrdec18解密JScript.Encode加密的XML文件内容,解密之后,如下所示:
5.发现里面还有很多unicode编码的字符,将这些编码转化为了对应的字符串之后,如下所示:
6.text字符串里有很多utf-8编码的字符,将这些编码转化为对应的字符串之后,text字符串,如下所示:
7.恶意脚本会在指定的目录生成app.pln文件,如下所示:
8.注册相应的注册表项,通过Regsvr32程序执行pln后缀的文件名,如下所示:
9.执行之后相关的进程信息,如下所示:
10.调用恶意模块DllRegisterServer函数,如下所示:
11.DllRegisterServer函数代码被混淆,如下所示:
12.手动还原之后的代码,如下所示:
13.使用密钥%^GQMJBDwBdXLAFWu(!Fag2$4FG,异或解密下面加密的代码,如下所示:
14.跳转到解密的代码处,如下所示:
15.分配内存,然后通过密钥,异或解密出恶意payload代码,如下所示:
16.解密出来的恶意payload,如下所示:
17.该恶意payload包含一个恶意模块代码,如下所示:
18.调用恶意模块的DllRegisterServer函数,如下所示:
19.与远程TG服务器通信,获取SSLoad恶意软件信息,如下所示:
20.远程TG服务器,如下所示:
21.向远程服务器请求数据,如下所示:
22.下载数据解压之后,如下所示:
23.与远程服务器进行通信,加载其他恶意软件,相关的流量特征,如下所示:
威胁情报
总结结尾
黑客组织利用各种恶意软件进行的各种攻击活动已经无处不在,防不胜防,很多系统可能已经被感染了各种恶意软件,全球各地每天都在发生各种恶意软件攻击活动,黑客组织一直在持续更新自己的攻击样本以及攻击技术,不断有企业被攻击,这些黑客组织从来没有停止过攻击活动,非常活跃,新的恶意软件层出不穷,旧的恶意软件又不断更新,需要时刻警惕,可能一不小心就被安装了某个恶意软件。
安全分析与研究,专注于全球恶意软件的分析与研究,深度追踪全球黑客组织攻击活动,欢迎大家关注,获取全球最新的黑客组织攻击事件威胁情报。
王正
笔名:熊猫正正
恶意软件研究员
长期专注于全球恶意软件的分析与研究,深度追踪全球黑客组织的攻击活动,擅长各种恶意软件逆向分析技术,具有丰富的样本分析实战经验,对勒索病毒、挖矿病毒、窃密、远控木马、银行木马、僵尸网络、高端APT样本都有深入的分析与研究
原文始发于微信公众号(安全分析与研究):利用恶意文档传播安装SSLOAD木马详细分析
