HVV期间遇到一个钓鱼样本,用IDA简单分析下样本逻辑及C2信息。
样本未做加壳处理,直接IDA打开,逻辑比较清晰,采用白加黑的方式进行免杀。
涉及四个资源,跟进sub_140001000函数可以看到资源路径。
用ResourceHacker打开,保存INSTALL中的二进制信息,可以看到其中有四个文件,
分别对应主程序中的资源ID。两个黑文件,136->viewer.dll,135->log.dat,把dll恶意样本保存下来继续分析。
可以看到shellcode的处理主要涉及到这两块。
跟进sub_180002C60分析,逻辑非常复杂,给人看一眼就想放弃的感觉,而事实上很简单。文件大小作为输入参数,log.dat的字节数为0x40403,根据文件大小确定分支是直接内存copy,不做任何修改,差点被吓到。
之后的解密就简单了,写了个脚本跑了下。
- v17 = 1
- with open('log.dat','rb') as f:
- k = f.read()
- filesize = len(k)
- v22 = k
- m = bytearray(filesize)
- eax = 0
- for i in range(filesize):
- v17 = (v17+3) << 21
- eax = v17>>20
- m[i] = (v22[i] ^ (eax & 0x0000ffff))
- with open('decode','wb') as f:
- f.write(m)
解出来shellcode,二进制查看,很明显的CS payload,CS的马网上分析的很多,需要对其进行解密加载,不再累述。
下面就是shellcode中提取IOC数据,这里我简单写了个shellcode加载器,动态执行跟进即可,静态解密完全玩不转,放弃了,并且动态执行已风险可控。
- // shellcode_loader.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。
- #include "pch.h"
- #include
- #include "windows.h"
-
- using namespace std;
- /* length: 798 bytes */
- const char shellcode[263171] = {0x90, 0x90, 0x90, 0x4d, 0x5a, 0x41, 0x52, 0x55, 0x48, 0x89, 0xe5,...};/*写入上述shellcode字节码*/
- const int shellcode_length = 263171;
-
- int main(int argc, char **argv)
- {
- void *exec = VirtualAlloc(0, sizeof shellcode, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
- memcpy(exec, shellcode, sizeof(shellcode));
- ((void(*)())exec)();
- return 0;
- }
扔到x64dbg中动态执行,可以看到相关C2地址: