快捷搜索:  网络  后门  CVE  渗透  木马  扫描  黑客  as

露台人满为患,不如来看下这个Ramnit蠕虫阐发

今年的全国杯越来越看不懂,想去露台吹吹风都不一定有地位,心凉了,事儿还得做,先从网上抓个可疑样本压压惊!上手阐发才发现并没有我想得那么简单……

1、基本信息

MD5 ff5e1f27193ce51eec318714ef038bef 
文件大小  55 KB 
运行环境  Windows 
SHA256  fd6c69c345f1e32924f0a5bb7393e191b393a78d58e2c6413b03ced7482f2320 

拿到可疑文件第一时间扔到“捏造执行环境”中先让它本人可劲儿折腾一番,咱只要要坐在老板椅上,翘着二郎腿,喝着茶,唱着歌,没一会儿功夫阐发讲演就出来啦~ 

天台人满为患,不如来看下这个Ramnit蠕虫分析图:云沙箱讲演截图

简单看下讲演的概要信息,有 Ramnit 标签。Ramnit 蠕虫是一种通过可挪移驱动器传播的蠕虫。该蠕虫还可以作为后门,允许遥程攻击者走访受感染的计算机,通常会寄生在用户的阅读器中,难以察觉,因此每天都稀有以万计的用户受其搅扰。 

二、举动阐发

上手之前预备工作要做足,先梳理下贱程: 

天台人满为患,不如来看下这个Ramnit蠕虫分析

图:流程图

2.1 起首使用 PEid 查壳,发现具有 UPX 壳,UPX 壳比较好脱,T 友们可以自行脱壳。 

天台人满为患,不如来看下这个Ramnit蠕虫分析2.2 过了一层壳以后,接着又是一段解密代码,始终走下去,终极又会归到 0×00400000 地址段中,你会发现,以及源程序同样,是经过 UPX 加壳的。 

天台人满为患,不如来看下这个Ramnit蠕虫分析

2.3 遵照一样的要领跳过 UPX 壳后,就进入到样本的主体程序。 

样本起首会查询体系默认的阅读器路径,要是查询失败就使用IE阅读器(后期用来进行进程注入),要是两个要领都失败,就会退出程序。 

天台人满为患,不如来看下这个Ramnit蠕虫分析2.4 通过检查互斥体 KyUffThOkYwRRtgPP 是否已经存在来保障同一时间只有一个实例在运行。 

天台人满为患,不如来看下这个Ramnit蠕虫分析2.5 进程名校验,样本会起首判定本人的进程名是否为 DesktopLayer.exe,要是是的话,网络黑客,就退出此函数,要是否是,就会组织 c:program filesmicrosoft 目录,然后将自身拷贝的此目录下,并命名为 DesktopLayer.exe,然后启动此程序。 

天台人满为患,不如来看下这个Ramnit蠕虫分析2.6 当自身进程名为 DesktopLayer.exe 时,将会对函数 ZwWriteVirtualMemory 进行 Inline Hook,归调函数以下: 

天台人满为患,不如来看下这个Ramnit蠕虫分析

2.7 接着创建进程,此进程为开头获得的阅读器进程,在进程创建时会调用 ZwWriteVirtualMemory 函数,而这个函数已经被 hook 并跳转到 sub_402A59,此函数的首要功能就是对启动的目标进程进行进程注入,并将一个 PE 文件写入目标进程,写入的 PE 文件原本是嵌入在自身文件中的。使用 16 进程程序可以发现,脱壳后的样本中嵌入的 PE。 

天台人满为患,不如来看下这个Ramnit蠕虫分析2.8 注入完以后会还原 ZwWriteVirtualMemory 的代码。 

3、具体阐发

经过这么多的操作,实在它的重点举动才刚刚最先。 

3.1 使用 OD 附加到目标程序,经过几个函数的调用就会进入到嵌入的 PE 文件中,程序结构比较清晰。 

天台人满为患,不如来看下这个Ramnit蠕虫分析3.2 创建不同的线程执行不同的功能,下面对其中几个比较重要的线程进行说明: 

Sub_10007ACA:将自身文件路径写入注册表 

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit,完成自启动。 

天台人满为患,不如来看下这个Ramnit蠕虫分析Sub_1000781F:在 c:program filesInternet Explorer 下创建 dmlconf.dat 文件,并写入 FILETIME 结构体数据。 

Sub_10005906:此线程没有被运行,无非通过对代码的静态阐发,发现它会监听 4678 端口,守候连接。收到连接后会接受命令并执行对应的操作。所以猜测此线程为一个后门,用来接收攻击者的命令。 

天台人满为患,不如来看下这个Ramnit蠕虫分析Sub_1000749F:此函数中会创建两个线程。 

天台人满为患,不如来看下这个Ramnit蠕虫分析其中  Sub_10006EA8 用于感染 exe,dll,html,htm文件,团体思路都是将自身文件写入到目标文件中,例以下图感染的 htm 文件。写入的是一个 VB 脚本,变量 WriteData 存储的是一个 PE 文件。

天台人满为患,不如来看下这个Ramnit蠕虫分析受感染的 PE 文件会多处一个 rmnet 段。 

天台人满为患,不如来看下这个Ramnit蠕虫分析

Sub_10006EC2:感染可挪移介质,他会将自身写入到可挪移介质,并在目录下创建 autorun.ini 文件,然后写入以下数据:

[autorun]..action=Open..icon=%WinDir%system32shell32.dll,4..shellexecute=.RECYCLERS-1-7-42-5416413684-3444774702-722318625-0540AbxOgufK.exe..shellexploreco妹妹and=.RECYCLERS-1-7-42-5416413684-3444774702-722318625-0540AbxOgufK.exe..USEAUTOPLAY=1..shellOpenco妹妹and=.RECYCLERS-1-7-42-5416413684-3444774702-722318625-0540AbxOgufK.exe

其中 AbxOgufK.exe 即为自身程序。阐发过程中发现的域名 fget-career.com,经查询得知为恶意域名。

天台人满为患,不如来看下这个Ramnit蠕虫分析

4、总结

深知本人阐发能力有限,实在就是想抛块砖嘛(心里非常的小看本人…),样本阐发是个手艺活,也要耐得住寂寞,没有一款解闷的好工具怎么行?这次用的云沙箱提前为我多维度的检测样本,省力又省心,感兴致的同伙可以多用用哈~ 

P.S. 露台上的 T 友们快下来吧!这么多恶意软件等着你们来阐发呢!全国需要你们来守护~

也能够直接查看阐发讲演,继续深度阐发,讲演地址以下:

fd6c69c345f1e32924f0a5bb7393e191b393a78d58e2c6413b03ced7482f2320

*

您可能还会对下面的文章感兴趣: