奇安信攻防社区-最经典的蠕虫病毒刨析

最经典的蠕虫病毒刨析

学习学习

0x01 前言
=======

最近比较空闲，在网上看到了一个比较经典的病毒样本，本着认真学习的态度，学习分析一下这个样本，有不足的地方希望大家指导一下，我分析的病毒样本Ramnit是一种蠕虫病毒。拥有多种传播方式，不仅可以通过网页进行传播，还可以通过感染计算机内可执行文件进行传播。

0x02 初步信息收集
===========

2.1样本基本信息
---------

|  |  |
|---|---|
| MD5 | ff5e1f27193ce51eec318714ef038bef |
| SHA-1 | b4fa74a6f4dab3a7ba702b6c8c129f889db32ca6 |
| SHA-256 | fd6c69c345f1e32924f0a5bb7393e191b393a78d58e2c6413b03ced7482f2320 |
| File size | 55kb |
| File type | Win32 EXE |

2.2样本主要行为
---------

### 2.2.1沙箱分析

先通过沙箱简单观察一下病毒的主要行为：可以看到有连接网络和释放文件的行为。

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-20ff25420a9f9897dac085a34a54301095323019.png)

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-862da36808003b221c3a085eef082820d545becb.png)

### 2.2.2虚拟机中动态执行

保存好现场环境后，动态执行观察现象发许多文件的图标闪动了一下，通过工具可以观察不同文件感染症状。

1\. 通过工具观察可以看到被感染的\*.exe 和\*.dll 程序自身后面都多了一个名为.rmnet的区段  
![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-307f648c4c4877c8e5c8a898b7a9693e837d9738.png)  
2\. 且每次打开被感染的程序，当前目录会生成一个 “母体名+Srv.exe”的程序

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-0c6811cfb83409e42aa7b4d9013042311448cf85.png)  
3\. 被感染的.htm和.html文件会被添加以下内容

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-35740984eb63d475e3971763ab67876ead46cc60.png)

4\. 被感染的autorun.inf会被写入以下内容

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-8ea844065893b5d46fe409f84ecc0f18697e76ef.png)

5\. 被感染的网络状态

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-6fb23728b1fbdf527f826b53a25192a060709da8.png)

### 2.2.3分析总结

1、创建互斥 “KyUffThOkYwRRtgPP”

2、投放文件并且运行 “C:\\Program Files\\Microsoft\\DesktopLayer.exe”

3、写入Autorun.inf 自动播放 进行感染

4、启动并注入iexplore.exe。通过Hook‘ZwWriteVirtualMemory’并方式来进行写入内存改变EIP执行

5、收集数据。连接C&amp;C服务器为443端口，此为HTTPS 访问端口，用来躲避行为检测，将收集到的用户数据发送到fget-career.com。

6、劫持 winlogon 系统项的userinit来运行感染病毒母体

7、感染目标文件。遍历全盘感染后缀为 “.exe”“.dll”“.htm”“.html”的文件。

主机被感染流程图如下：

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-dd657552594de036632930a969ec569f434455b4.png)

0x03 详细分析
=========

3.1脱壳
-----

自解压。首先对样本进行信息查询，此样本使用UPX壳，所以直接使用ESP定律脱壳即可

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-e72bc24dd3026e0a8986eafa3f74b7bad420999f.png)

脱壳后在IDA进行静态分析，大致浏览后未发现关键可疑行为，怀疑该程序可能还有壳，于是使用x64dbg进行调试分析。

首先进行解码，对比解码前后内容变化

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-e1ac6bb73b6985cfb301be68132b2831aa64080c.png)

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-36400b5482d820ae8e93741b283dd4383c15d90c.png)

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-303985bcdf8db4641bf303f71dd8f405d61b68f6.png)

根据上述数据内容判断此时在解码后应该还包含UPX壳，在入口处下ESP断点后进行跟踪，经过几次F9查看上下文汇编后发现UPX壳位置，此时再次使用ESP定律脱壳即可得到样本

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-f80ef94858218fda969ceee4eb41a3244c5e1654.png)

使用IDA直接静态分析最终脱壳后的样本。首先大致预览该样本行为

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-ae694ba4250f12938fa61c4b2235f9b2e83b28c8.png)

3.1创建互斥体
--------

创建名称为“KyUffThOkYwRRtgPP”的互斥体。防止病毒重复运行

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-ad0584d4ec36af05ea37324657d61a2ced677a3f.png)

3.2备份文件
-------

获取运行程序的全路径，判断自身是否是DesktopLayer.exe，不是时拷贝自身文件到备选路径，名称DesktopLayer.exe并启动，启动后退出自身

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-7514b4cf94ba04e6723ba325b9db876ba24b4ecc.png)

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-86f754cb9494b274df57915ac283a24ec6e1a236.png)

获取备选路径

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-ce9b3f0e52ea8bf7506214b8c8e1b29bd0987565.png)  
拷贝文件并启动拷贝后的文件

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-d77486f89860ee9ab8d017225d9c725725a238f4.png)

3.3从ntdll中获取API
---------------

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-08fd6c49e6dbfb726769821fef5ece221a5f54a4.png)

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-b23692593c8fb1c76905f8285d4e669f863f7d7b.png)

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-77776b23edfbab09a4816466c2b08d1ddbd1d80a.png)

3.4iexplore远程执行shellcode
------------------------

验证过程由于太长所以放到附录中，如果想看验证过程可以去附录中查看。

打开注册表查询iexplore.exe浏览器路径。在取得系统浏览器iexplore.exe路径后，首先Hook “ZwWriteVirtualMemory”。

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-9b070cd2a23f1d373c404773dcabc765bc17ecc6.png)

在调用CreateProcessA函数来启动进程，当调用此函数的时候，就会进入到Hook的处理程序里面来，因为CreateProcessA 是经过封装处理的,ZwWriteVirtualMemory是其CreateProcessA的内部函数。

这个hook处理程序首先会从自身内存中解密出一个PE文件，通过远程写内存函数写入到iexplore.exe进程当中，其中还会远程写入一段shellcode代码给iexplore.exe内存PE文件进行初始化操作，大致就是申请内存----对齐区段---初始化导入表--修复重定位-修复入口点等。

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-392bec447cd37c125b72b15a94c619ffb3605019.png)

3.5核心层
------

这层核心代码则为远程写入iexplore.exe的这段内存，实则为一个DLL文件使用CFF工具查看PE格式，确定此PE为32位Dll，且无壳

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-7c0547b0ee94f793d73c977adbc3b684c268c118.png)

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-482e8fb425f5dfbbe1985f147de5e8829ace6455.png)

从入口上看这个DLL一共创建了6个线程来进行工作，每个线程负责不同的恶意操作。

1.创建“KyUffThOkYwRRtgPP”互斥体

2.每隔一秒判断winlogon.exe的通过循环查询注册表userinit是否启动的是感染母体

3.访问google.com:80 网站来进行取当前时间,并且判断

4.取感染时间保存到 “dmlconf.dat”

5.连接C&amp;C服务器”fget-career.com”，发送窃取的数据

6.遍历全盘文件进行感染,主要感染类型 .exe.dll.htm.html文件

7.主要遍历驱动器根目录写autorun.inf方式 进行感染

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-b60d39eca81beb7e8d8abdfadeaceac428f41ba7.png)

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-3476bc6ca8bbc466191ca38fa1692ab4ef6d9039.png)

创建“KyUffThOkYwRRtgPP”互斥体，使dll可以单例执行

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-9466227ce81938db5fed47a48ea13f885d6d8a3c.png)

### 3.5.1线程一(劫持winlogon.exe注册表项 来启动感染母体)

通过分析我们可以知道，此线程主要通过注册表 查询winlogon目录的userinit 的来判断自身母体是否被能被开机运行，这种劫持方法，在开机启动项里面是查不到的.

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-01e35c7889a542b61c38c35aded15d2c4c13987e.png)

并且每隔1秒查询一次，无限循环。

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-ba9ef267f6fc154559b1207d3d0d5af3e3809816.png)

### 3.5.2线程二(获取当前时间)

通过访问google.com:80来获取时间)如果google.com访问失败，则还会进行以下几个网站来获取

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-4f39252d1e5f5cdb063accef861642b5ccc1ee41.png)

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-892514982ac58c3cc149f4c48cb6314a5a77e825.png)

### 3.5.3线程三(取感染时间保存到文件”dmlconf.dat”)

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-cd0d3f1308e3f2fc20b04971b858f8754bb96080.png)

通过 SystemTimeAsFileTime 函数取得感染时间

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-87674bd10bc7c2833512ee55fbea0e32d3ae129d.png)

写入到文件”dmlconf.dat”

### 3.5.4线程四(发送窃取数据线程)

首先会取计算机一些相关信息

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-e6108008168b5192d47f67f377fc9b68c328ba1d.png)

接着会解密出一个名为”fget-career.com”的域名地址，且端口为443端口 ，为了躲避安全软件而伪装成HTTPS协议

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-ac580c0def993fabdfe4bc979cb34692aac6dec6.png)

接着进行数据组合

20406F46000121F800000A28000000050000000186

分区序列号：20406F46

分区序列号：000121F8

系统build版本：00000A28

主版本号：00000005

次版本号：00000001

国家代码：86

接着进行MD5加密字符串，发送给C&amp;C服务器 fget-career.com 443端口

数据包首次使用固定ff 00 ?? 00 00 00 进行对C&amp;C服务器的握手连接

在进行把20406F46000121F800000A28000000050000000186 和组合的MD5字符串发送给C&amp;C服务器

### 3.5.5线程五(感染全盘文件 .exe .dll .htm .html)

我们可以看到，此感染文件线程每隔30秒感染一次

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-029cc97abb7b1c6e0341a12f26854516824d5530.png)  
首先排除感染目录

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-59779420ef608481c7b8a36faa89887e7ca10204.png)

接下来就是全盘搜索文件进行感染,我们可以看到此感染母体搜索“ \*.\* ”全部文件。

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-2d1abd219410c4be0013accfc0940d0071f9f125.png)

当搜索到以下文件类型时候进行感染

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-6dd5ae36f2005831dbfef02a75b162452b3dcbd3.png)

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-e06a53ff84cd4878d52e5a1deb4ea3aa4eb86daa.png)

感染.exe和.dll文件时候, 首先会读取文件区段.如果比较最后一个区段为.rmnet的话，则会停止操作，防止被重复感染.

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-5dc5b4cc846d827bef1e090d821036eded1f2977.png)

进行感染操作使用文件映射方式把文件加载到内存，在进行添加区段.rmnet，此区段包括感染母体。

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-81de6050bece073cf50501b7d2dfa489dbb67965.png)

感染.htm .html文件是否 判断结尾是否为 &lt;/SCRIPT&gt; ，如果为这个字符串则不会感染

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-368ee3fb9f29af065b18be6d66158c3689fdadb4.png)

被感染的htm和html文件 则会被添加以下内容

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-3e3bf7ad35f8a4cc9a940d733120393887ffca42.png)

### 3.6.6线程六(感染驱动器自动播放文件 autorun.inf)

首先会遍历所有驱动器路径,挨个进行判断，感染。

我们可以很清楚的看到首先遍历所有驱动器路径。然后删选出 “可移动磁盘”和没有没感染的磁盘来进行感染.

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-d766d362dec72640c3714deec5fbbc8159c146d9.png)

针对可移动磁盘

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-9fc1283d9a3e6969744befc4b52afaa5e093b132.png)

并且读取每个可移动磁盘的autorun.inf 文件,判断结尾是否是”RmN”，如果是则已经是被感染过的。

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-606d106199f4c2a0926a4e3caec47db183685a0b.png)

感染autorun.inf文件内容，可以看出是一个自动运行感染母体的代码。并且在尾巴添加 RmN 防止重复操作

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-b1f4d5a99876a67e06efecd0568a81bb1ff6c105.png)

0x04 总结
=======

从感染方式就可以看到低版本的系统和安全配置不安全的系统容易会感染蠕虫病毒建议，大家使用电脑的时候有空闲的使用就升级一下电脑系统，或者安装正规的杀毒如软件。

处理这个蠕虫病毒的方式：

首先遍历每个进程的句柄表，来看看哪个进程创建了互斥名为：“KyUffThOkYwRRtgPP”。创建此互斥的进程一定是现在正在进行感染文件的进程，我们先结束掉这个进程，然后自己创建这个互斥，这个时候病毒的感染操作就已经算被终止。接下来就是全盘搜索被感染的文件来进行修复了。恢复原始入口点，删除.rmnet感染节区，修复文件校验和。

0x05 附录
=======

远程注入iexplorer的验证过程

在调用CreateProcess时会调用该API，该样本使用此特性对启动的iexplorer.exe进行注入

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-b7e5925869db4e8f682dd58ef2474cd714d5cbb0.png)

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-794b4a21a3ace0d26a2d1561c20d053aeebfeb9a.png)

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-b7ec091fb005261b7d4d20812f085e814fc6caa6.png)

在启动iexplorer.exe后对Hook的ntdll.ZwWriteVirtualMemory进行还原。参数中g\_srcASMofZW对应结构体中的btASMCode字段，所以在以下还原代码中使用指针偏移寻址进行访问数据

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-b9fd0c7cae4a2ed2ce7ba40b7da20cdef3d8e5d8.png)

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-064e24a78b5d913441abc0eb8b4ee7a59a92f5dc.png)

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-856f45e0ed5e1c7314e57fc63d6a96b566d2e35d.png)  
现在在仔细分析Hook的回调函数。g\_srcAMSofZW此全局变量为Hook的ntdll.ZwWriteVirtualMemory，而这里对应新汇编指令，所以此处的调用参数及调用约定与原本的ZwWriteVirtualMemory是一致的

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-1bae60ba925e0744c72999f9373d2475e25e81ed.png)

通过PE文件结构获取到入口地址。通过修改入口地址达成代码注入

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-a075e8db03831447cc1e45c97d8c29574a2e44c3.png)

拷贝注入代码。使注入后的代码可以正常调用API

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-424c05d6029ba03732ab770baaf1f44c26905cfa.png)

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-09d7eeb0ad65fbdef6fc2b027bd0ca49f66908e3.png)

将PE数据拷贝完后在进行写入汇编指令使代码能够执行

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-52774cc4451a5942ff14e14d5cafa80500b8fe16.png)  
在上面的g\_PEdata是一段PE数据。由于我使用插件无法正常dump，所以采用手工dump的方式

![image.png](https://shs3.b.qianxin.com/attack_forum/2022/06/attach-97a28a642e05979702f6d940978c88b269b4b798.png)

发表于 2022-06-17 09:39:27
阅读 ( 8630 )
分类：其他

最经典的蠕虫病毒刨析

0 条评论