在周末闲暇无聊网上冲浪的时候,发现了有人求助分析一款木马的帖子,这不得来分析一手?我随即下载文件,放入虚拟机,然后。。。。开了一把游戏。
虐菜局,作为菜菜的我,很被虐。打完开始分析。
待分析的木马是BLADABINDI,也称为njRat/Njw0rm,是一个远控,功能上也是很强大,从键盘记录到DDos。样本的信息如下:
样本名称
c46a631f0bc82d8c2d46e9d8634cc50242987fa7749cac097439298d1d0c1d6e-1603075107
样本类型
PE32 executable (GUI) Intel 80386, for MS Windows
样本大小
1178304
MD5
62c01f1b2ac0a7bab6c3b50fd51e6a36
SHA1
cfc301a04b9a4ffeb0dc4578c1998a4eb4754f7b
SHA256
c46a631f0bc82d8c2d46e9d8634cc50242987fa7749cac097439298d1d0c1d6e
SSDeep
24576:HRmJkcoQricOIQxiZY1iagI+bpJBIAkPcJCqbVvi1N:sJZoQrbTFZY1iagTpVkybVqT
然后执行程序,看一下样本执行行为。
1、执行其他程序:样本在执行后,会创建Tr.exe 子进程并在执行一段时间后退出子进程。
2、创建文件:样本在执行后会在%TEMP% 路径下创建Tr.exe 文件和x.exe 文件。
3、注册表修改:在注册表写入数据实现无文件自动执行。
4、创建启动项链接:创建名为Microsoft.lnk 的快捷方式指向恶意文件。
1、将文件托到Exeinfo 查壳
显示是Autoit v3 脚本编译。
2、使用Exe2Aut 工具对样本进行反编译(此处需要反编译的程序有x.exe(样本复制体),Tr.exe)
2.1、对样本x.exe的反编译,很清晰地看到脚本代码。
2.2、对样本Tr.exe的反编译,这里使用的是base64 对数据进行加密。
样本名称
25bc108a683d25a77efcac89b45f0478d9ddd281a9a2fb1f55fc6992a93aa830
样本类型
PE32 executable (GUI) Intel 80386, for MS Windows
样本大小
915456
MD5
4d3b21451ed0ee3ee65888d4c8944693
SHA1
dcfec58ec8d9d8ec45d0b033db4462f1dafe5ab3
SHA256
25bc108a683d25a77efcac89b45f0478d9ddd281a9a2fb1f55fc6992a93aa830
SSDeep
12288:pCdOy3vVrKxR5CXbNjAOxK/j2n+4YG/6c1mFFja3mXgcjfRlgsUBga1T1W+MQ:pCdxte/80jYLT3U1jfsWahI+MQ
Tr.exe 功能相对较为单一,将加密后的数据写入到注册表
通过代码分析,得出加密方式使用Base64,数据应该是PE文件(通过Shell 命令可知)
解密:
使用HxD32 将加密数据存放为exe,并且对exe 进行基础分析
样本名称
8dbe3fc1131346a2162d940d2b351c060282c9ae93351327535b5b19a394883f-1603099974
样本类型
PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows
样本大小
68096
MD5
56c0630998c7b8af19a2d72f3315ef4c
SHA1
9346ec06f152c2386f8ad639cb90eab85ebdfc58
SHA256
8dbe3fc1131346a2162d940d2b351c060282c9ae93351327535b5b19a394883f
SSDeep
1536:RRFJykxKeA8nOhfrEBEQ7Oykx2blKpNDJ:LD+cWbYOJx2bIr
1、样本家族:njRat
2、样本功能:
○注册表操作
○创建文件
○和服务器建立通信
○修改防火墙规则
○键盘记录
○获取计算机信息
○屏幕截图
○伪装为系统进程
对解密后的样本进行详细功能分析:
*修改用户环境变量、防火墙配置
*修改注册表,复制自己到开始菜单
6. 实现与服务器建立通信,并且接受服务器命令
这个样本总体上比较简单,也比较利于分析,本身没有多少反调试和混淆的操作。通过这个样本也可以看到,在日常工作中最常使用的U盘一不注意可能就是病毒木马传播的媒介。
IOC:
water-boom.duckdns.org
56c0630998c7b8af19a2d72f3315ef4c
4d3b21451ed0ee3ee65888d4c8944693
62c01f1b2ac0a7bab6c3b50fd51e6a36
6 篇文章
如果觉得我的文章对您有用,请随意打赏。你的支持将鼓励我继续创作!