一

样本HASH

二

基本信息

1、壳信息：无壳

2、关键API

三

行为分析

关键在设置 EnvironmentUserInitMprLogonScript 为 C:UsersReverseAppDataLocalcdnver.bat 实现持久化。

2、文件监控

在 LOCALAPPDATA 目录下释放了两个文件：cdnver.dll 和 cdnver.bat；
cdnver.dll 的 MD5 为 AA2CD9D9FC5D196CAA6F8FD5979E3F14
bat 脚本内容为：start rundll32.exe “C:UsersReverseAppDataLocalcdnver.dll”,#1

创建进程 rundll32.exe，加载释放的文件：cdnver.dll；

从行为监控中也可以看出（释放隐藏文件、隐秘执行）：

4、网络监控
使用 FakeNet，捕获得域名 cdnverify.net，使用奇安信威胁分析平台查询：

可以确定该样本与 APT 组织有关。

四

详细分析

使用 IDA 打开后，停在 WinMain 处，x32dbg 的 Base 为 0x00EF1000，在 IDA 中 Rebase 为 0x00EF0000，则 WinMain 的地址为 0x00EF1ECF：

结合 x32dbg 可知：

第 1 次调用，解密字符串：SystemRoot\SysWow64第 2 次调用，解密字符串：SystemRoot\System32第 3 次调用，解密字符串：TEMP

因此，重命名 sub_EF1DEF() 为 decryptStr_sub_EF1DEF()；之后调用函数 sub_EF12D3()。

4.1、sub_EF12D3 – 解密PE

连续两次调用 sub_EF1063()

4.1.1、sub_EF1063

查看 sub_EF1063() 内部代码后，猜测也是执行字符串解密操作：

结合 x32dbg 可知：

第 1 次调用，解密字符串：cdnver.dll第 2 次调用，解密字符串：LOCALAPPDATA

4.1.2、sub_EF1000

内部代码看着也像是在进行解密操作，对 0x00F0B880 处的 0x59BD 字节的数据进行解密，解密后的数据如下，可以很明显地看到 4D5A：

解密出一个 PE 文件数据后，函数结束；sub_EF12D3() 分析完成，返回到 WinMain()。

4.2 sub_EF13F7 – 解压缩PE

4.3、sub_EF155B – 释放DLL

4.3.1、sub_EF10CD

之后调用 GetEnvironmentVariableW 获取 LOCALAPPDATA 环境变量：

这里为：C:\Users\Reverse\AppData\Local，再将 “cdnver.dll” 与之拼接得到了释放文件的目标路径：

C:\Users\Reverse\AppData\Local\cdnver.dll

返回 sub_EF155B 继续执行；

4.3.2、sub_EF155B 继续执行

调用 LoadLibraryW 加载 Kernel32.dll，并获取 CreateFile 函数地址并调用，创建文件：

获取 WriteFile 函数地址并调用，把 PE 数据写入文件：

文件释放完成。

4.4、sub_EF264C – 权限维持

rundll32.exe#1UserInitMprLogonScriptcdnver.dllEnvironmentLOCALAPPDATAcdnver.bat

调用 LoadLibraryW 加载 Advapi32.dll，并获取 RegOpenKeyExW 函数地址，并调用，其中 0x80000001 是 HKEY_CURRENT_USER：

获取环境变量，并判断：

从 ”cdnver.dll“ 中查找 “.”，获取文件后缀：

之后确认只有一个 “.” 出现。

4.4.1、sub_EF2030 – bat脚本

startLOCALAPPDATAcdnver.dll#1rundll32.execdnver.bat

构建脚本字符串 start rundll32.exe “C:UsersReverseAppDataLocalcdnver.dll”,#1，调用 WriteFile 将脚本写入 bat 文件。

返回 sub_EF264C 继续执行；

拼接构造字符串 C:\Users\Reverse\AppData\Local\cdnver.bat，

调用 LoadLibraryW 加载 Advapi32.dll，获取 RegSetValueExW 函数地址，

设置注册表，使用 Logon Scripts 机制实现持久化：

注册表设置前后对比：

4.5、sub_EF1707 – 执行dll

调用 _wcsstr 函数在 cdnver.dll 路径中查找 “.dll”：

若找到子串，连续 3 次调用 decryptStr_sub_151DEF 解密字符串：

4.5.1、sub_EF1D09

调用 OpenProcessToken、GetTokenInformation、GetSidSubAuthorityCount、GetSidSubAuthority 等 API 获取进程的 RID 信息：


x32dbg 中，RID = 0x2000，为中完整性：

返回 sub_EF1707 继续执行，将 eax(0x1) 与 3 比较，不等则跳转到 loc_EF1811 执行 shell 命令，之后返回：

若 sub_EF1707 返回值为 3，则继续执行 00EF17DE：

4.5.2、sub_EF1B02

首先会调用 sub_EF1957 函数：首先加载 AdvApi32.dll，获取 OpenProcessToken 的函数地址并调用；获取 LookupPrivilegeValue 的函数地址并调用，查看系统权限的特权值，第二个参数表示所要查看的特权信息的名称 SeSecurityPrivilege：

调用 AdjustTokenPrivileges 修改令牌权限，再调用 LookupPrivilegeValue，所要查看的特权信息的名称 SeTcbPrivilege：

最后再调用一次 AdjustTokenPrivileges 修改令牌权限。

提权完成，返回 sub_EF1B02。
调用 sub_EF1C3D 函数：通过调用 CreateToolhelp32Snapshot、Process32FirstW、Process32NextW 等 API 遍历进程，查找 explorer.exe 进程：

调用 OpenProcess、OpenProcessToken 等 API 获取 explorer.exe 进程的访问令牌句柄 TokenHandle，并作为结果返回：

在进行内存初始化后，调用 sub_EF18DC 函数，向内存中写入命令：

返回 sub_EF1B02。
加载 AdvApi32.dll，获取 CreateProcessAsUser 函数地址，并调用：

4.6、sub_EF18AD

调用 DeleteFileW 删除文件

• 在 LOCALAPPDATA 目录下释放 dll 和 bat；

• 修改注册表实现持久化；

• 提权，加载执行 cdnver.dll。

参考

峰会回顾：https://mp.weixin.qq.com/s/eEbc8k8H9Pc2K0d_AHG3BA