吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 7746|回复: 9
收起左侧

[PC样本分析] HW行动 - .Net+窃密样本分析

  [复制链接]
yusakul 发表于 2020-12-16 16:00
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!

一、样本概述

样本“CHUAN PROJECT 1-22_pdf.exe”
为.net程序,伪装为境外阅读软件(俄文)。通过连续释放、解密、执行加密的各个木马文件,窃取用户的各种登录凭证与密码,通过邮件发送,并能够设置计划任务自启。

样本文件相关

释放文件 功能
CHUAN PROJECT 1-22_pdf.exe 伪装的木马
WinRar.dll 解压执行的中间文件
B2B.dll 环境检查、执行、注入
CrZEdznRJeUvvUsgKRdjI.exe 窃密程序

提取邮箱打码处理后

登录邮箱 *.origin@*.com
邮箱key *Np0
登录的邮箱主机 *.smtp. *.com
接收地址 *.origin@*.com
发送地址 *.origin@*.com

二、样本类型

样本类型为密码窃取。

三、详细分析

3.1 执行释放

释放WinRar.dll用于解压

解压B2B.dll所需的资源与key

解压并加载执行B2B.dll

B2B.dll

反调试检查

反病毒环境检查

解密文件 与 注入函数

设置计划任务

下载功能(未使用)

B2B.dll的部分功能

B2B.dll解密其资源v1pqmF2h,得到如下可执行文件

CrZEdznRJeUvvUsgKRdjI.exe反混淆处理

3.2 攻击细节

3.2.1 键盘记录

注册键盘钩子

键盘消息

键盘钩子回调

3.2.2 密码窃取

遍历Windows各类密码凭证的guid,读取对应key:

收集guid

收集的guid

遍历用户目录下的各类浏览器保存的密码凭证:

查找qq浏览器

遍历结果

上图:寻找“logins”凭证

上图:查询注册表寻找FTP凭证

上图:保存上述窃取的各类登录凭证

邮件发送

smtp协议发送邮件

解密对应邮箱地址和smtp协议key:

登录邮箱 *.origin\@*.com
邮箱key *Np0
登录的邮箱主机 *.smtp. *.com
接收地址 *.origin\@*.com
发送地址 *.origin\@*.com

打码处理

四、样本特征

4.1 文件hash

Name Md5
CHUAN PROJECT 1-22_pdf.exe cc9edea782c5b8713378e3f6d92cf0ab
WinRar.dll 1ac41b03e64317c64c23c13f9a50857b
B2B.dll af3616a06c56f710cc67b3e66f9230f5
CrZEdznRJeUvvUsgKRdjI.exe 53467c50585fc99dcbf66790a5e635a8

免费评分

参与人数 6威望 +1 吾爱币 +24 热心值 +6 收起 理由
非凡公子 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
fengbolee + 1 + 1 用心讨论,共获提升!
rekoe + 1 + 1 热心回复!
Hmily + 1 + 20 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
zhan + 1 + 1 用心讨论,共获提升!
fycdl + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

yangruiqi 发表于 2020-12-16 16:02
大佬大佬
solasafe 发表于 2020-12-16 16:05
dogzxcn 发表于 2020-12-17 10:32
and1=1 发表于 2020-12-17 11:43
这个应该不是国内hw的吧,应该是国外攻击的
zirco 发表于 2020-12-17 15:33
每年一次,心力憔悴……
 楼主| yusakul 发表于 2020-12-17 17:48
and1=1 发表于 2020-12-17 11:43
这个应该不是国内hw的吧,应该是国外攻击的

嗯 只是窃密...... 但是是hw时抓的马
进击的马铃薯 发表于 2021-6-22 11:36
学习了,大佬太强了
cai10650 发表于 2021-10-30 23:49

膜拜大佬,学习学习!!!
navis1mple 发表于 2022-12-29 09:45
膜拜大佬
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 22:35

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表