前段时间群里一位师傅开远程桌面暴露3389端口时被人打了,然后上传了一个勒索程序,并触发了,在该师傅一番抢救后留下了一个样本,丢到微步上看了看之前好像还没人提交,猜测应该是某种方式内…
前言
前段时间群里一位师傅开远程桌面暴露3389端口时被人打了,然后上传了一个勒索程序,并触发了,在该师傅一番抢救后留下了一个样本,丢到微步上看了看之前好像还没人提交,猜测应该是某种方式内嵌的一个样本。然后找该师傅要了个被杀毒处理后剩下的东西看了看。
分析之前样本就被Windows Defender识别为 Neshta.A,但是换到火绒下又是 Neshta.C,有点摸不着头脑,同时网上相关资料也比较少,只能自己分析看看了
7z 程序分析
样本哈希:8acf5c0049c39a19d42c66c1769874726789160438cec6ceeeb877ce805529d3
样本其本身是一个 7z 压缩的自解压程序,但是中间会释放一个可执行程序。根据这个特征又是MZP勒索了…但是本样本却是Neshta木马…
经过多次在虚拟机里测试,尝试运行此自解压程序,同时开启Process Monitor来监控对应程序操作,也没观察到对应释放的操作过程,这就有点奇怪了…
但是输入错误的密码可以大致窥探到内压缩的程序:
感觉上可能也就vbs以及bat程序有威胁?
但是也不知道密码是个啥…
无奈之举,只能硬看大几个兆的文件,来找不同了,比较遗憾的是盯了许久没有多大进度有点破防了,乖乖的从沙箱分析提取出的程序进行下载了…最抽象的是从沙箱下载下来的同名文件使用Bindiff来确定对应的差异,对应存在的不同点的函数只是简单的返回个数字…
就很奇怪?有点琢磨不透这个东西到底是怎么释放的文件,同时也找不到svchost这个玩意…
再次下载沙箱的东西,准备分析一下本体svchost干了啥东西…
对于svchost这个文件就出现的比较早了,最早提交分析是 2021年12月 出现的,那就是说明这个东西依然在利用
对应哈希:cab9a40acca9666c85d6f1712e97622b7982a14622b017210bfa155431de75b5
svchost 程序分析
这是一个Delphi写的东西,拿IDA分析一下,一些函数没办法识别出来,看对应的库函数有点难受。查了一下资料,有推荐使用DEDE来进行反编译逆向,这个工具可能有些年头了,又找了一下找到个IDR来进行Delphi的反编译
crypto2011/IDR: Interactive Delphi Reconstructor (github)
用了用发现甚至不如IDA…只能显示汇编,于是在IDA里折腾了…
首先要做的便是让IDA导入Delphi的一些库
File -> Load File -> FLIRT Signature File
之后我们加入对应的库
之后重新加载一下就可以看到一部分的库函数,虽然还是比较难看,但聊胜于无
对于Delphi所编写的程序,一般来说这块在分析时不用太关心,猜测为设置对应的异常处理
v4 \= &savedregs;
v3 \= (LPDWORD)&loc\_408220;
ExceptionList \= NtCurrentTeb()\->NtTib.ExceptionList;
\_\_writefsdword(0, (unsigned int)&ExceptionList);
之后比较显眼的便是下面的几个函数:
DecodeData
其调用了一个伪随机来进行异或解密数据,可以直接调试拿一下数据,之后便有了后面的注释信息
sub_404AE8
此函数用来进入判断是否为大文件进而释放的,其本质上是获取了一个启动路径信息,之后进入到内部的sub_406FE4进行下一轮的分支判断
sub_406FE4
此函数用来获取到对应文件的扩展名(如:.exe、.pdf),之后进行比较判断当前执行的程序是否为exe,如果是则进入分支内部
sub_407D9C
此函数大致判断了对应执行的文件是否为一个大文件(核心本体大小为40.5kb,如果大于此则为大文件),即通过文件的大小来判断是否嵌入在其他程序上,如果是则将其进行释放,反之则将其感染(于sub_4079A0进行)
sub_4071D0
具体实现感染的部分,将自身PE进行嵌入
比较有意思的是其似乎还会获取对应的ico图标来将自身修改后的程序进行一个伪装,之前测试的时候似乎出现了程序图标加载不出来的问题,或许是这块调试的时候突然被Windows Defender干掉了的原因?
sub_4079A0
这一部分主要便是感染了,会在内存中将svchost进行解密出来,并将其进行读入内存创建对应的注册表项目
HKEY\_LOCAL\_MACHINE\\SOFTWARE\\Classes\\exefile\\shell\\open\\command C:\\\\Windows\\\\svchost.com "%1" %\*
sub_40759C
这块便是在对应用户处创建一个tmp5023.tmp文件,随后创建一个互斥量来对逻辑盘信息进行遍历(sub_406D40),而其选择感染的逻辑盘中也有选择:
其会避开A、B盘以及CD-ROM驱动器
之后进入到WebForm::_16623内部进行获取对应盘下的所有文件了,通过拼接盘号以及*.*来进行获取内容
sub_405634
其会获取对应路径文件,同时递归往下进行查找对应的内容
sub_406E0C
此函数下会创建一个tmp5023.tmp
而在sub_406E94对其进行读取对应的 8 个字节
有点搞不懂读入的对应文件内容是具体什么含义,感觉可能是时间戳之类的东西
样本技术信息
此样本本质上通过植入自身文件来进行感染,属于感染型样本。整体感觉上此程序更像是一个恶意程序启动器,以及判断文件是否被感染
其会释放以下文件:
xxx.exe # 原先被感染的干净程序
tmp5023.tmp # 暂时还不知道干什么用
svchost.com # 检测是否为PE文件以及进行感染和释放
%User Temp%\\3582-490\\ # 创建此文件夹
之后会创建以下进程:
%User Temp%\\3582-490\\xxx.exe # xxx.exe为恶意程序进程
创建互斥体:MutexPolesskayaGlush用来确保一次只会运行一个副本
主要感染对象:exe文件
避免感染含有以下字符串的对象:
PROGRA~1
%Windows%
%Temp%
避免感染下列文件大小:
小于 41,472 字节或大于 10,000,000 字节的文件
避免感染以下驱动器的文件:
A:\\
B:\\
CD-ROM
解决方案
在HKEY_MACHINE\SOFTWARE\Classes\exefile\shell\open\注册表项中的默认选项进行以下修改:
From: (Default) = %Windows%\\svchost.com "%1" %\*"
To:(Default) = "%1" %\*"
删除对应的恶意软件、以及临时文件目录下的
svchost.com
tmp5023.tmp
同时安装对应的杀毒软件进行全盘扫描,将对应恶意程序进行清除
参考
PE_NESHTA.A - 威胁百科全书 - Trend Micro CN
PE_NESHTA.A-O - Threat Encyclopedia (trendmicro)
Neshta Malware - Malware removal instructions (updated) (pcrisk)
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
网络安全学习资源分享:
给大家分享我自己学习的一份全套的网络安全学习资料,希望对想学习 网络安全的小伙伴们有帮助!
零基础入门
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
【点击免费领取】CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。【点击领取视频教程】
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取技术文档】
(都打包成一块的了,不能一一展开,总共300多集)
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取书籍】
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
👋全套《黑客&网络安全入门&进阶学习资源包》👇👇👇
这份完整版的学习资料已经上传CSDN,也可以微信扫描下方CSDN官方认证二维码免费领取【保证100%免费】