吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

搜索
查看: 1844|回复: 11
上一主题 下一主题

[PC样本分析] 俄罗斯套娃式的.net样本分析

[复制链接]
跳转到指定楼层
楼主
1行 发表于 2020-6-28 16:57 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
本帖最后由 1行 于 2020-6-28 19:09 编辑

前言

原来没有分析过.net的恶意程序,偶然发现了一个使用了Agent Tesla间谍软件生成的木马,看到有不少分析的文章了,就自己分析一下,记录一下分析过程。

描述

原始文件是由c#编写的,内部包含两个资源,一个是图片,另一个是DLL文件。程序运行时会先将DLL文件在内存中释放出来。然后在DLL文件中使用解密函数将图片中隐藏的文件解密出来。隐藏的文件会设置计划任务,并解密出来一个PE文件来执行窃密操作。

.net分析

静态查看

使用dnspy对.net文件进行调试,https://github.com/0xd4d/dnSpy/releases ,在这里进行下载。

dnspy左侧是一些程序集,右侧是程序集对应的代码

先静态看看有什么内容,发现有两个资源,一个是图片,另一个似乎是PE文件

关键函数应该是这里

原始文件调试

调试时可以在入口点停下,也可以下断点。

在此函数中将执行关键函数。

执行上述函数就会到达 PhotoDirector.dll 的函数中

解密DLL调试

使用自身的解密方式来进行解密操作

可以看到解密出来了一个PE文件

解密.net文件分析

将文件dump出来继续分析,将从恶意程序中解密出来的文件复制到指定目录中。

解密资源中的xml文件,并将其放入临时文件中

获取信息准备设置计划任务

获取schtasks.exe,设置计划任务

计划任务已设置

运行之后,系统就提示检测到恶意软件,然而感觉似乎没有运行啊,就猜想会不会有其他的地方又解密出来一个恶意程序。
暂时不晓得该怎样调试,就在所有的类中添加了类断点,运行之后原来在程序的入口点之前恶意文件就已经被解密了。不过这个方法是只能是在类较少的情况下使用,不然断点太多了好麻烦的。

PE文件分析

将程序dump下载进行分析,基本操作就是获取系统下载软件信息,窃取用户的各种账号密码,

获取发送信息的地址

拼接GET信息

密码字典爆破,用自设的用户名登录电脑

执行批处理文件,将恶意程序与自身删除

总结

看了几个不同的利用 Agent Tesla 间谍软件生成的木马,基本都是利用了图像来解密隐藏的恶意文件的,这个可能就是 Agent Tesla 的特征吧。。。

样本在这里(infected),不过这个样本还是很有意思的,像是个俄罗斯套娃。。

   512614d4683ffe32c440266c41ca1a5b0cc9949b78850d3c131c1da388c6003d.zip (147.58 KB, 下载次数: 2)

欢迎大家免费评分呀

免费评分

参与人数 4威望 +1 吾爱币 +23 热心值 +4 收起 理由
repobor + 1 + 1 我很赞同!
gqdsc + 1 + 1 支持下,虽然看不大明白
Hmily + 1 + 20 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
coolcalf + 1 + 1 虽然PE部分好久没碰,算是不明白,但是支持研究精神

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
康娜喵 发表于 2020-6-29 09:09
我记得以前有一个大佬教写易语言木马也是这个思路,也是通过一个进程来将其内部的图片资源改写成执行的木马。
推荐
westlife73 发表于 2020-6-30 15:58
沙发
小胜 发表于 2020-6-28 17:27
3#
2733369 发表于 2020-6-28 18:26
谢谢分享
4#
hzqp 发表于 2020-6-28 18:42
学习了学习了
5#
aSHwOLF 发表于 2020-6-28 21:14
虽然没看懂,不过觉得很高端的样子
6#
拉玛西亚 发表于 2020-6-29 00:04
套娃可还行?
7#
深爱我的女孩 发表于 2020-6-29 07:54
学习学习!
9#
lifz888 发表于 2020-6-29 14:13
不错的分析,支持原创,支持分享
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2020-7-8 15:01

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表