秒殺宏病毒,解剖Emotet技術難點
第一章 樣本背景介紹
Emotet是一種銀行木馬惡意軟體程序,它通過將計算機代碼注入受感染計算機的網路堆棧來獲取財務信息。
[1]允許通過傳輸竊取敏感數據。
[2] Emotet惡意軟體還將自身插入到軟體模塊中,然後軟體模塊可以竊取地址簿數據並對其他系統執行拒絕服務攻擊。
[3]Emotet已經在其交付方面發展,但最突出的形式是在電子郵件正文中插入惡意文檔或URL鏈接,有時偽裝成發票或PDF附件。
[4]2014年首次在德國,奧地利和瑞士報道,美國很快就遇到了Emotet惡意軟體,不一定是假髮票,而是通過惡意JavaScript(.JS)文件;當惡意.JS文件被執行時,Emotet惡意軟體就能夠感染當前主機。
[5]一旦Emotet感染了主機,作為惡意軟體一部分的惡意文件就能夠通過Web瀏覽器攔截,記錄和保存傳出的網路流量,從而導致敏感數據被編譯以訪問受害者的銀行帳戶。
[6 ]Emotet是Feodo Trojan系列木馬惡意軟體的成員。
[7]在虛擬機環境中運行時,Emotet會以誤導惡意軟體調查員的方式更改其行為。
第二章 原創沙盤跑宏病毒
Emotet 已經有人分析了,我這篇的重點是:分析中遇到的技術難點,以及以後快速分析的解決方案。對於這種宏病毒我們要做到秒殺,我們要學會給病毒歸類,以及快速分析的方法。
拿到樣本之後,用我自己原創開發的沙箱跑一下,看看效果
系統進程中標紅的表示新增加的進程,可以看出增加了cmd,exe的進程,我們可以看到word啟動了一個cmd的進程,並且傳遞了一串參數
已經拿到WINWORD.EXE啟動cmd.exe的數據
第三章 分析加密cmd參數
參數是拿到了但是貌似是加密的
我們首先手工分析一下,批處理是用&&分割的
所以拿出第一句
這個是設置變數。
再看第二句這個可長了
很長別嚇著了,先看這句
%o的意思遍歷上面的數組,取出每一項,那麼這句的意思就是取出字元串-對於的索引項,1表示只是取一位,那麼字元串是啥
那麼對於的就是p
59對應的就是o
30對應的就是w
我們可以手工寫代碼解析。
理論上這樣分析就完成了。
第四章 自動化跑結果
但是如果別人給演算法修改了,那麼我們又的折騰半天,那麼有沒有什麼解救之法啊
當然有,他再怎麼加密,他都跑不掉一個執行的操作,我們只要列印執行的操作就完成了
這裡我們只要給call,替換成echo 再修改一下列印的變數就可以了,我修改後的代碼如下
現在問題來了,雖然我們修改了代碼,怎麼給顯示結果列印處理啊?
我才用我最熟悉的方式C代碼編程
代碼如下
哎 努力無數次,還是無法給代碼編輯到框子裡面去,難道是我不會編輯帖子?麻煩小編幫我編輯一下。放棄了,
下面放一個我跑出的圖吧
以後媽媽再也不用擔心我的學習了,秒殺一切。
第五章 總結
好了,類似於這種宏病毒的樣本就技術點就分析完成了,剩下的就是拿od跟pe文件了,我這裡就不介紹了,最後說點題外話:我不是不會技術分析,只是我覺得思路比技術分析亮點大,技術分析是個人都會,只是時間問題,唯獨思路才強大。
![](https://pic.pimg.tw/zzuyanan/1488615166-1259157397.png)
![](https://pic.pimg.tw/zzuyanan/1482887990-2595557020.jpg)
TAG:瘋貓網路 |