亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

天臺人滿為患,不如來看下這個Ramnit蠕蟲分析

發布時間:2020-08-14 22:01:23 來源:ITPUB博客 閱讀:214 作者:IT168GB 欄目:網絡安全

本文轉載自FreeBuf.COM ”,原文作者:gechengyu
  
今年的世界杯越來越看不懂,想去天臺吹吹風都不一定有位置,心涼了,事兒還得做,先從網上抓個可疑樣本壓壓驚!上手分析才發現并沒有我想得那么簡單……

  一、基本信息

天臺人滿為患,不如來看下這個Ramnit蠕蟲分析

  拿到可疑文件第一時間扔到“虛擬執行環境”中先讓它自己可勁兒折騰一番,咱只需要坐在老板椅上,翹著二郎腿,喝著茶,唱著歌,沒一會兒功夫分析報告就出來啦~

天臺人滿為患,不如來看下這個Ramnit蠕蟲分析
圖:流程圖

  2.1 首先使用 PEid 查殼,發現具有 UPX 殼,UPX 殼比較好脫,T 友們可以自行脫殼。

天臺人滿為患,不如來看下這個Ramnit蠕蟲分析

  2.2 過了一層殼之后,接著又是一段解密代碼,一直走下去,最終又會回到 0×00400000 地址段中,你會發現,和源程序一樣,是經過 UPX 加殼的。

天臺人滿為患,不如來看下這個Ramnit蠕蟲分析

  2.3 依照同樣的方法跳過 UPX 殼后,就進入到樣本的主體程序。

  樣本首先會查詢系統默認的瀏覽器路徑,如果查詢失敗就使用IE瀏覽器(后期用來進行進程注入),如果兩個方法都失敗,就會退出程序。

天臺人滿為患,不如來看下這個Ramnit蠕蟲分析

  2.4 通過檢查互斥體 KyUffThOkYwRRtgPP 是否已經存在來保證同一時間只有一個實例在運行。

天臺人滿為患,不如來看下這個Ramnit蠕蟲分析

  2.5 進程名校驗,樣本會首先判斷自己的進程名是否為 DesktopLayer.exe,如果是的話,就退出此函數,如果不是,就會構造 c:program filesmicrosoft 目錄,然后將自身拷貝的此目錄下,并命名為 DesktopLayer.exe,然后啟動此程序。

天臺人滿為患,不如來看下這個Ramnit蠕蟲分析

  2.6 當自身進程名為 DesktopLayer.exe 時,將會對函數 ZwWriteVirtualMemory 進行 Inline Hook,回調函數如下:

天臺人滿為患,不如來看下這個Ramnit蠕蟲分析

  2.7 接著創建進程,此進程為開頭獲得的瀏覽器進程,在進程創建時會調用 ZwWriteVirtualMemory 函數,而這個函數已經被 hook 并跳轉到 sub_402A59,此函數的主要功能就是對啟動的目標進程進行進程注入,并將一個 PE 文件寫入目標進程,寫入的 PE 文件原本是嵌入在自身文件中的。使用 16 進程程序可以發現,脫殼后的樣本中嵌入的 PE。

天臺人滿為患,不如來看下這個Ramnit蠕蟲分析

  2.8 注入完之后會還原 ZwWriteVirtualMemory 的代碼。

  三、詳細分析

  經過這么多的操作,其實它的重點行為才剛剛開始。

  3.1 使用 OD 附加到目標程序,經過幾個函數的調用就會進入到嵌入的 PE 文件中,程序結構比較清晰。

天臺人滿為患,不如來看下這個Ramnit蠕蟲分析

  3.2 創建不同的線程執行不同的功能,下面對其中幾個比較重要的線程進行說明:

  Sub_10007ACA:將自身文件路徑寫入注冊表

  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit,實現自啟動。

天臺人滿為患,不如來看下這個Ramnit蠕蟲分析

  Sub_1000781F:在 c:program filesInternet Explorer 下創建 dmlconf.dat 文件,并寫入 FILETIME 結構體數據。

  Sub_10005906:此線程沒有被運行,不過通過對代碼的靜態分析,發現它會監聽 4678 端口,等待連接。收到連接后會接受命令并執行對應的操作。所以猜測此線程為一個后門,用來接收攻擊者的命令。

天臺人滿為患,不如來看下這個Ramnit蠕蟲分析

  Sub_1000749F:此函數中會創建兩個線程。

天臺人滿為患,不如來看下這個Ramnit蠕蟲分析

  其中 Sub_10006EA8 用于感染 exe,dll,html,htm文件,總體思路都是將自身文件寫入到目標文件中,例如下圖感染的 htm 文件。寫入的是一個 VB 腳本,變量 WriteData 存儲的是一個 PE 文件。

天臺人滿為患,不如來看下這個Ramnit蠕蟲分析

  受感染的 PE 文件會多處一個 rmnet 段。

天臺人滿為患,不如來看下這個Ramnit蠕蟲分析

  Sub_10006EC2:感染可移動介質,他會將自身寫入到可移動介質,并在目錄下創建 autorun.ini 文件,然后寫入如下數據:

  [autorun]..action=Open..icon=%WinDir%system32shell32.dll,4..shellexecute=.RECYCLERS-1-7-42-5416413684-3444774702-722318625-0540AbxOgufK.exe..shellexplorecommand=.RECYCLERS-1-7-42-5416413684-3444774702-722318625-0540AbxOgufK.exe..USEAUTOPLAY=1..shellOpencommand=.RECYCLERS-1-7-42-5416413684-3444774702-722318625-0540AbxOgufK.exe

  其中 AbxOgufK.exe 即為自身程序。分析過程中發現的域名 fget-career.com,經查詢得知為惡意域名。

天臺人滿為患,不如來看下這個Ramnit蠕蟲分析

  四、總結

  深知自己分析能力有限,其實就是想拋塊磚嘛(內心無比的鄙視自己…),樣本分析是個技術活,也要耐得住寂寞,沒有一款解悶的好工具怎么行?這次用的云沙箱提前為我多維度的檢測樣本,省力又省心,感興趣的朋友可以多用用哈~

  P.S. 天臺上的 T 友們快下來吧!這么多惡意軟件等著你們來分析呢!世界需要你們來守護~

  也可以直接查看分析報告,繼續深度分析,報告地址如下:

  fd6c69c345f1e32924f0a5bb7393e191b393a78d58e2c6413b03ced7482f2320

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

博乐市| 昌宁县| 开化县| 广汉市| 龙里县| 金平| 宣化县| 德格县| 沅陵县| 镇江市| 哈密市| 抚州市| 本溪| 辉县市| 自治县| 开封市| 房产| 阿拉善右旗| 东明县| 马关县| 韩城市| 连南| 申扎县| 洛南县| 江达县| 泸定县| 十堰市| 武宁县| 塔河县| 滦南县| 阿瓦提县| 松潘县| 舒城县| 古田县| 泽州县| 台南市| 天门市| 麻江县| 浙江省| 咸宁市| 芒康县|