CyberGate 是一种远程访问木马 (RAT),允许攻击者未经授权访问受害者的系统。攻击者可以从世界任何地方远程连接到受感染的系统。恶意软件作者通常使用此程序窃取密码、文件等私人信息。它还可能用于在受感染的系统上安装恶意软件。
Hash | Value |
---|---|
SHA1 | 83ebbf632e25dbe69b060d190a42a5125ffe3902 |
MD5 | 0ee2f7d6a851faf44bf235186be91a19 |
SHA256 | b64c40843b011d715c431b761680e8565383ac702f5ed80492fb30bd6aa33929 |
unpame链接(dump文件下载地址):https://www.unpac.me/results/7ec3268f-b1ed-49af-a8ff-218513c127db/
分析第一步,借助PE查询工具,这里用的是DIE:
32位程序,可以看到加了UPX壳(这一类壳最简单,直接脱就可以)。语言用的Delphi。
查看节表也可以发现,没有被魔改过,那就直接UPX -d
脱完壳的文件会直接覆盖掉原文件,DIE继续深入分析
查看信息熵,信息熵可以判断该恶意程序是否有被加壳混淆,或者是在内存中载入了一些有效负荷。
加了壳的,准确来说是.rsrc节被加壳混淆了;图表上具有高而平坦的熵值区域,说明很有可能该恶意软件具有注入的行为,即注入了代码到内存中。
可以查看导入表,再次肯定这一推测:
发现函数 VirtualAlloc
,该函数是合法的用于分配内存的函数,但是恶意软件经常用它来进行一些注入行为。在地址空间中分配一块内存,将恶意代码注入其中并执行。
字符串方面查看了,但是没有什么可疑信息。
用沙箱查看一下大致的流程,仅作为参考。(高级分析要收费,普通用户的随便看看)
主进程释放了俩个文件,推测其一就是进程注入的恶意代码。
可以看到特别多的网络连接,充分说明了CyberGate作为一个远程访问木马的作用。
其它没有什么了,还是得手动分析。
语言用的是Delphi,IDA可以做些修改
禁用分析:
Option -> Compiler options
Options -> general -> Analysis
点击OK,可以开始分析了
start函数开始先用CreateMutexA
创建了俩个互斥锁:
分别是 "_x_X_UPDATE_X_x_"
和 "_x_X_PASSWORDLIST_X_x_"
, 用GetLastError
获取错误码,与0xB7比较。
第一处互斥锁如果存在,它会关闭互斥句柄并会休眠12秒,不存在的话就直接关闭互斥句柄。
一般情况下,互斥锁都不会存在,也就是这里不会进入if判断,往下走:
else中又是互斥锁,不用理会,继续向下
在 sub_40B93C
中的sub_405D70
发现了CreateFileA
函数:
在这里创建了一个文件并写入数据,字符串str_XXXXXX_txt,实际上就是XX--XX--XX.txt。这个正是我们在沙箱中观察到的释放文件。
继续往下,在函数sub_40B7FC
中发现了关键操作
先是通过FindWindowA
函数尝试查找Shell_TrayWnd窗口,后检索其进程ID,如果没有找到的话就会创建一个名为 explorer.exe的新进程,然后使用 ProcessInformation、hProcess 作为参数调用sub_4040F4
。
进入函数sub_4040F4
:
无疑,发现了VirtualAlloc
函数,恶意软件惯用的伎俩,通过该函数分配内存,之后WriteProcessMemory
写入恶意代码并执行,依次排查下面的函数,最终在sub_4038AC
中找到了执行代码的函数。
通过函数CreateRemoteThread
创建一个在另一个进程中的新线程来执行恶意代码。
要想提取出有效负荷,就需要先过掉前面的互斥锁。我先是尝试了在GetLastError
上设置了断点,但是,实际上发现,互斥锁根本就不会触发。那么直接bp VirtualAlloc
之后程序会陷入异常。仔细检查后发现问题出现在中间的一个call函数上,
IDA反编译后会报错:
从汇编上看是这样的:
会一直call一个函数,然后cmp比较不符合就exit了。符合也是一直向下。不太想深入去调它,做了一个比较暴力的决定,直接nop掉了该函数,(不清楚后面会不会有影响)
在xdbg中nop掉之后,就可以F9运行了,断点会命中VirtualAlloc
在这里用硬件断点可以提取出内存中的恶意代码,具体如何操作,可以查看我近几篇文章。
断点命中后,Ctrl+F9得到函数的返回值,即分配内存区域的基地址,跳转到内存中,对第一个字节下硬件断点。
~接着F9 Ctrl+F9继续跑,慢慢跑,好像会再断俩次在VirtualAlloc
上,最终,可以得到如下内存区:~
上面说错了,这样dump出去的文件只有几kb大小,在IDA分析的时候忽略了。这次的分配内存和之前的不同,之前是只执行一个VirtualAlloc
,该恶意软件是循环多次分配内存,直到满了才结束
这里折腾了一会,还是有点残缺,因为dump出来的文件也是带壳的,upx没有魔改但是还是会报错。应该PE结构也被损坏了。
有个思路是通过写条件断点来自动化执行的,但是能力有待提高,最后还是选择使用沙箱dump出的文件。
使用unpacme可以dump出三个文件
是一个Delphi编写的dll文件。
入口点:
没有什么值得留意的。查看导入表
有一个StartHttpProxy
值得注意,前言说过这是一个远程访问木马。
函数sub_4302E4
接收的参数1字符串代表的是 'Windows Firewall Update',说明这里可能进行了和防火墙相关的操作。
进入到该函数中:
该恶意软件使用Registry::TRegistry
类来操作注册表,完整的路径下来是:SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List,恶意软件会尝试打开该路径,如果不存在就创建它。
之后LStrCat
可知将字符串拼接起来:将v2和':*:Enabled:'
和'Windows Firewall Update'
拼接起来给v7
之后将拼接起来的v7写入上面的注册表中,并以System__AnsiString作为值名称。
“Windows Firewall Update”应用程序已添加到授权应用程序列表中。“*:Enabled:”部分通常表示已为该应用程序启用所有端口和协议,可能允许其通过防火墙自由通信。
这意味着恶意软件可能以“Windows Firewall Update”的名称运行,以逃避防火墙。
在设置完防火墙之后,sub_430214
初始化了一个TIdTCPServer
对象,表明了这是一个TCP服务器。
这个导出函数看名字就和Chrome有关:
定位到函数 sub_420C04
**'Local AppData'**作为参数,分析sub_41E4F8
恶意软件将字符串**“SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders”**分配给v8,并将字符串 Local AppData 分配给v7。
在这里,从给定项 (Local AppData) 注册表 (SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders) 下的 Windows 注册表中检索特定值。
将文件从**“\Local AppData\Google\Chrome\User Data\Default\Web Data”**复制到.tmp
文件夹
打开名为**“\x0FTSQLiteDatabase”**的 SQLite 数据库
循环遍历数据库查询结果,然后检索并处理password_value、username_value、origin_url。
使用CryptUnprotectData
解密数据 (pDataIn)并将其存储在 pDataOut 中
获取获取 Mozilla 的个人凭证。
对user和passwd解密:
该样本同初始文件一样。
该dll没有导出函数,只有一个入口点:
查看字符串发现很多关于注册表的操作。
Software\Microsoft\Windows\CurrentVersion\Run用于在用户登录时自启动的操作,\Policies\Explorer\Run也是用于配置系统启动时的程序,不过它由系统策略控制,用于在特定情况下强制启动。
创建进程和获取进程ID
然后它使用LookupPrivilegeValueA
,“SeDebugPrivilege”
恶意软件使用 SeDebugPrivilege 获取访问权限,以调试和调整系统上任何用户拥有的进程的内存
在sub_14043A04
函数中:
恶意软件通过检查dwMinorVersion
来检查 Windows 版本
如果它等于 1,则表示 Windows 版本是:
Windows NT 3.1或Windows XP或Windows 7或Windows Server 2008 R2
16 篇文章
如果觉得我的文章对您有用,请随意打赏。你的支持将鼓励我继续创作!