奇安信攻防社区-一次窃取程序的恶意样本分析

一次窃取程序的恶意样本分析

程序为32位程序，并且是一个.net文件

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/12/attach-de172aabff4a83d1a8dc8d80fe113a83fd7cfd08.png)  
用dnspy分析，直接定位到主函数

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/12/attach-46826adabd8de0f2b933c3de8e3c90e381731b44.png)  
恶意软件从程序集的 `AssemblyDescription` 属性中提取配置信息，进行base64解码，关键的 Telegram Token 和 Chat ID进行了rot13加密

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/12/attach-36614e03377843752dd10b6f1832b2226136fd44.png)  
调用 `persistence.CheckCopy()`，确保恶意程序被复制到目标路径，防止被删除

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/12/attach-812e963a179b4bc0b90878f114674b7f3b6959f1.png)

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/12/attach-f1fb2f274278ab3bf96d5fa25f57e08bc7b0f86e.png)  
在注册表中创建键值，并在发现相同键值存在时停止运行，确保只有一个实例运行

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/12/attach-bf53b5b483214c12cee703a5d4fa4b1c0f01ad70.png)  
检测是否在虚拟机、沙箱等分析环境中运行。如果检测到分析环境，则退出程序

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/12/attach-e46ab762ed372529d62af41a8a3cabed49d88c47.png)  
窃取浏览器的敏感数据，包括保存的密码、cookies 和自动填充信息

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/12/attach-a88bf2383f0efb9a8f97e505b1e328643d9c19bd.png)  
窃取被害者主机上的telegram数据，复制数据并压缩为 ZIP 文件，通过 Telegram API 发送到攻击者的服务器

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/12/attach-db21f139460ed6216b0ed0fe3ce805cc4db93f8d.png)

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/12/attach-3dd287c3883c2a080347139abdc7eb85e92f7d69.png)  
窃取被害者主机上的Exodus 钱包数据，复制数据并压缩为 ZIP 文件，通过 Telegram API 发送到攻击者的服务器

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/12/attach-08a9eb0e61aaa83b8390f4c74492b091979d041c.png)

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/12/attach-f87d7693c90bfb9f20ee4894de80154fdbd9446c.png)  
窃取被害者主机上的Metamask数据，复制数据并压缩为 ZIP 文件，通过 Telegram API 发送到攻击者的服务器

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/12/attach-86fbb08ecde7a6ab2c67e31bbb171f7ab9b14594.png)  
获取被害者主机上的系统和硬件信息，包括CPU、GPU、RAM以及系统版本，然后保存到Log\\ComputerInfo.txt中

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/12/attach-b6b4ac730eb63800c12effc06b70c3447c35e12d.png)

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/12/attach-699362e5ae3f5fbeb4a96243b8d07e0f72bcdb17.png)  
调用 `utils` 模块的 `desktopScreenshot()` 函数截取受害者的桌面截图，最后将所有窃取的数据压缩为 ZIP 文件，通过 Telegram Bot API 上传到攻击者的 Telegram 账户

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/12/attach-992ab58f0b06d3caf9284e5f05fa684e42c65cbe.png)  
发送文件后会删除痕迹，包括压缩的zip文件和恶意程序自己

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/12/attach-eaa623c72a4029fff005a89cbce2348b5174056b.png)

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/12/attach-da728d8f7d15de13aef485b07debf5842cb4a270.png)

定位攻击者github账户
=============

在config数据里找到了攻击者的github主页

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/12/attach-12c3dec4e67b0a6659ed347572369aa8ff3bc4d7.png)

```php
https://github.com/attatier
```

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/12/attach-3f704710aa3efc31ed336ed567f874ef91393a2c.png)  
查看攻击者创建的项目，在历史记录里可以找到恶意程序的传播方式

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/12/attach-6548de6568c6816e006441f438d0c4772d19b4c4.png)  
是一个快捷文件，直接用lnkparse分析

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/12/attach-643c09ffbf59387a5e13bb00c90244fd18493b7c.png)  
快捷文件直接调用powershell远程获取恶意软件，在被害者主机上运行

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/12/attach-8de6e9f6cd687942acf2d11b921de3ebca882bf0.png)

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/12/attach-e09f08a42ae11d0e4933a7f2d26e9dc129e6c596.png)  
然后远程获取正常pdf文件，并在被害者执行程序后自动打开，伪装自己

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/12/attach-d01625edc368b12d9b902abac25d413bee36c941.png)

定位攻击者telegram账户
===============

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/12/attach-db1db9ebd8c0d0846b1b97aff99cdedf0fd25b7d.png)

截取流量

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/12/attach-a8129000a8d1a45f718a9e0f8abb3cfdff5996fa.png)

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/12/attach-7c03c398b1338b9613c2b0dd7cbebbe654320a82.png)  
telegram账户：

```php
7781867830
```

生命周期：

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/12/attach-2675c6cbbb12cf4c564428d2e2a829282eebe055.png)  
信息：

```php
hash:
50a6880b7a2cfb41d50b9fa34438b8fa
4bc209d3c71283fd0efefe10ef2bc4387dd26c19

攻击者账户：
https://github.com/attatier
telegram id：7781867830
```

发表于 2025-01-03 10:00:00
阅读 ( 943 )
分类：二进制

一次窃取程序的恶意样本分析

0 条评论