吾爱破解 - LCG - LSG |安卓破解|病毒分析|破解软件|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

搜索
查看: 3595|回复: 26
上一主题 下一主题

[PC样本分析] Emotet 银行木马简析

  [复制链接]
跳转到指定楼层
楼主
hjm666 发表于 2020-1-2 15:38 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
本帖最后由 hjm666 于 2020-1-2 15:47 编辑

简述样本行为:
       下载该样本的文件是一枚doc文件,在doc文件中写有恶意宏代码,会下载并运行emotet 木马,木马运行后会利用GetCommandLineA函数判断是否是第一次运行,不是第一次运行就利用CreateProcessw创建一个同名的子进程,同时利用lpCommandLine参数传递命令,让GetCommandLineA判断是否是第一次运行该样本,创建了子进程后随即退出主进程。子进程接收了命令后不再进行创建子进程,跳转入恶意代码处,子进程运行后会把自身数据进行复制并重新随机命名保存到系统文件夹内,并设置window系统服务进行持久化。重新命名后的样本启动后会继续创建子进程传递相关命令,子进程判断了传递命令正确后会跳入到核心代码处,会收集计算机的一些敏感信息如计算机名,计算机内的所有进程名等信息,进行des加密,发送到目标服务器中,并读取目标服务器中的数据信息。



doc文件:
Hash:1b602f921b641d7645c2ae2ada628560a053d5e4
大小:186kb

打开文件后

其搭载的宏代码

vt对其代码的检测


触发宏代码后,获取到最终执行的powershell命令,并对相关字符进行base64解码处理后,宏代码在4个链接中遍历下载重命名emotet木马运行,下载的PE文件经判别是emotet木马



emotet 简单分析
   
   样本核心代码是经过加密的用IDA只能到达核心代码的入口


解密完后进入核心代码

获取系统信息

获取路径

接收命令

对获取到的命令进行判别,如果正确就进入到核心代码不正确就创建子进程

创建子进程,传递命令,随后退出主线程


因为子线程执行了相关命令后也退出了,所以用模拟一个命令的方法进行调试这个“子进程”


一如前面的操作到判别是否是"子进程"后进入核心代码处。

连续创建了两个互斥体,第一个互斥体


第二个互斥体


利用CreateEventW函数打开创建的互斥体事件,随后利用SignalObjectAndWait函数进行发送信号通知一个对象然后作为单个操作等待另一个对象 进行消息捕获,


同时在用户文件夹Temp内创建tmp文件将自身数据复制作为副本

创建在Windows 目录下创建文件,将自身数据复制过去

为这个程序创建系统服务,做持久化


makerleel.exe
将数据复制重命名生成makerleel.exe文件,又设置window系统服务启动后,和之前行为一样,先判断创建子进程将命令导入执行,判断命令正确否后执行关键代码

以同样的办法模拟进入‘’子进程‘’后生成一个des秘钥

遍历进程信息进程存储

解密出回连ip进行构建请求头后将获取的相关敏感数据发送到目标ip

数据发送过去后,样本还将进行读取来自服务器的相关数据进行下一步行为,该ip目前或已被制裁,无数据回馈


至此完结

上传一份主体样本网络包,有兴趣分析的可以看看
链接: https://pan.baidu.com/s/1AmtAmksRHTqvFx0QuvTTMw 提取码: zzxy 复制这段内容后打开百度网盘手机App,操作更方便哦

免费评分

参与人数 10威望 +3 吾爱币 +21 热心值 +9 收起 理由
fei8255 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
伯麟 + 1 + 1 谢谢@Thanks!
kbit + 1 我很赞同!
17315044449 + 1 + 1 谢谢@Thanks!
静一静 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
sifeng + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
onlylonely + 1 + 1 感谢分享!
willJ + 3 + 12 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
zswseu + 1 + 1 我很赞同!
陈世界 + 1 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
 楼主| hjm666 发表于 2020-1-3 12:49 <
Hemingway2003 发表于 2020-1-3 11:47
一直觉得宏病毒很诡异,镶嵌在文档中,以前叫人把他的doc转成pdf给我,后来,索性装linux打开

pdf文件也有相关漏洞
推荐
 楼主| hjm666 发表于 2020-1-2 15:49 <
连续创建两个互斥体,进行消息捕获那有不懂是怎么回事,但进行捕获是我OD无法进行动态调试了直接跑飞,强行干掉后才获取到样本进一步的信息的
3#
wszbzb 发表于 2020-1-2 18:34
4#
helloword121 发表于 2020-1-2 19:31
感谢分享
5#
不知鱼kya 发表于 2020-1-2 20:50
谢谢楼主大大的分享
6#
爱亿 发表于 2020-1-2 21:18
太强了,感谢分享
7#
xiaojundeng 发表于 2020-1-2 21:40
学习了学习了
8#
hxd97244 发表于 2020-1-2 21:53
技术贴,只能膜拜
9#
kone153 发表于 2020-1-2 22:08
学习了学习了
10#
lyghost 发表于 2020-1-2 23:52
分析的很详细
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2020-2-18 19:03

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表