历史记录

    清空历史记录
    • 相关的动态
    • 相关的文章
    • 相关的用户
    • 相关的圈子
    • 相关的话题
    注册 登录
    最近一个银狐样本的分析
    aaa4dr 历史精选 1645浏览 · 2025-03-24 03:59

    样本来源,感谢分享~
    https://bbs.kafan.cn/thread-2280161-1-1.html
    初步研判
    SHA256:70826f24a6f857dd220e637884465b961b252c1374ccaa757a97f587ccf36144
    我们在沙箱中可以看到一些针对样本的特征
    image.png
    image.png
    行为分析
    进程行为
    文件调用自身然后创建powershell
    image.png
    内容如下,做了一个绕过windefender的操作
    "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" Add-MpPreference -ExclusionPath 'C:\','C:\ProgramData','C:\Users','C:\Program Files (x86)' -Force
    文件行为
    可以看到释放了很多可执行文件,位于文档处,初步判断为白加黑程序,其中黑程序由VMP保护,本文对此文件仅做行为分析。
    image.png
    注册表行为
    创建了三个计划任务,对应不同的文件
    image.png
    网络行为
    我们可以看到一些外连的ip,不过都是国内的,可能并非是目标c2
    image.png
    详细分析
    文件比较多,在行为分析中提到了三个计划任务,其中有一个白加黑,黑文件为vmp,还有一个单文件vmp,这两个文件虽然非常可疑,但对于我们整体分析而言并不关键,因为在主程序运行中就会识别到c2.
    我们这里主要分析非vmp保护的程序,一个为主程序,还有一个是释放文件
    主程序
    文件混淆地比较严重,不过经过较短的单步跟踪还是可以找到核心位置
    image.png
    image.png
    我们进入decode函数,内部有一些关于数据解密的操作,不过并不关键,我们只需要在下方callshell的函数处捕获shellcode就可以了
    image.png
    可以看到如果创建内存成功就写入数据call
    image.png
    我们直接动调把shellcode取出来然后行为分析下,发现可疑外连,后续多次分析,每次访问的ip都不一样,可能为CDN在下载文件
    image.png
    image.png
    20.42.73.29
    52.182.143.212172.64.149.23
    52.18.117.173
    ...


    我们还是详细分析看看,首先进行了一段自解密,对后续代码解密,如下图所示,中间还有loop,应该还会有解密操作
    image.png
    我们使用条件断点运行完loop,再把文件段dump出来,这时再次进入后就可以看到有效代码了
    image.png
    代码首先给自己提权
    image.png
    然后用了两个不同的函数睡眠
    image.png
    数据填充
    image.png
    然后使用key对下一段shellcode进行解密,然后执行
    image.png
    取出后进行下一段shellcode的分析
    这段shellcode主逻辑下
    image.png
    首先创建互斥体,确定独立运行,然后sleep一段时间,然后带参plp重新执行自身程序,后续遍历进程如果360进程运行,则循环关闭
    image.png
    image.png
    关闭360远程连接
    image.png
    然后进入核心代码,首先时获取rot加密值,进行拼接
    image.png
    其中有一段通过在文件中查找*/&字符然后后去后70位字符不过因为00截断,所以真正的字符并没有这么多
    image.png
    image.png
    然后就是还原网址
    image.png
    之后直接访问就可疑获取到附件,之后对数据进行解密,我们只要还原算法就可以得到解密数据
    image.png
    image.png
    获取文件后对数据进行解密然后释放到行为分析中的位置
    image.png
    在核心程序之后对生成文件的目录都屏蔽windefender,以及判断可疑进程
    image.png
    然后解密了一个s.jpg的文件,然后执行了,我们取出shellcode再看看
    image.png
    后续在shellcode中解出了一个pe,内部主要是创建管道根据参数创建计划任务。
    image.png
    image.png
    在核心函数之后就是取消windefender对释放目录的监控
    image.png
    主程序的逻辑基本就到这里了
    子程序
    我们以其中一个非vmp打包的释放程序为例,也是所有释放文件中有明显外连的进程
    image.png
    我们使用微步云沙箱,可以看到恶意且是银狐IOC
    image.png
    image.png
    程序有UPX的段,不过不是UPX,是一个自解密程序
    image.png
    运行此程序时还需要带参
    image.png
    初步行为分析,发现内部使用了互斥体,且子程序会调用主程序释放的部分文件,如果没有主程序,直接执行子程序则只能访问本地
    程序在UPX1段解密数据到UPX0段
    image.png
    不过生成的代码混淆的也很严重,这里就对调用方法进行分析,如图所示使用使用WSAsocket套接字进行网络连接
    image.png
    首先是检索系统启动值,如果是故障安全启动就不进行网络连接
    image.png
    如果sw2_32无法连接则使用mswsock库,然后连接IOC
    image.png
    总结一下,主程序的逻辑基本分析完成,两个vmp加壳的程序仅进行行为分析,无外连行为,对网络连接子程序进行部分分析,判断c2调用方式
    IOC
    38.46.14.118
    1 人收藏 1 人喜欢 转载 分享
    0 条评论
    某人
    表情
    可输入 255
      发布投稿
    热门文章
    优秀作者
    目录
    先知社区
    本站/app由 Djingoii 提供技术和产品支持