惡意傳播之——社工+白+黑

wyzsk發表於2020-08-19

原文網址 : https://zhuanlan.kanxue.com/article-13089.htm

作者：衛士通攻防實驗室 · 2016/05/31 10:34

0x00 背景

日前實驗室捕獲一個樣本。遠遠望去，像是搜狗輸入法，在測試機中點開一看，彈出一款遊戲的物價表，再看PE檔案屬性，還帶正常著數字簽名，一副人畜無害的樣子。經過一番認真分析後。發現遠沒有這麼簡單，這裡就分析過程記錄一下，希望其他安全工作者有些許幫助。

先介紹一下所謂白名單免殺。隨著病毒與殺軟之間的鬥爭，殺軟的手段不斷地增多、增強，由早期傳統的特徵碼匹配演算法發展到目前虛擬機器技術、實時監控技術等流行的查殺演算法。但始終存在一種最直接也最根本的免殺方式——白名單免殺。病毒就安安靜靜地躺在殺軟的白名單中，誰閒的沒事會去查水錶呢？

當了解了白名單免殺的基本含義之後，就可以針對樣本進行深入的研究，本文以下內容就是筆者拿到樣本之後，逐步分析樣本主要功能的完整過程，其分析環境如下：

分析環境：win 7 x86 VMware
分析工具：IDA、CFF、OD

0x01 樣本概述

樣本包含5個檔案：

File name	size	MD5	attribute
nvvsvc1.exe.exe	451.50 KB (462336 bytes)	4D9B3A508BC2402A86E10F7907022263	hidden
HWSignature.dll	48.50 KB (49664 bytes)	85F50E1D2DE076079D98F09416E4C710	hidden
HanziSort.dat	158.75 KB (162557 bytes)	4FB42CBC7ADD3CF2AB3F0A99B9E7CE25	hidden
圖1	Shortcut linked to cmd	cmd /c nvvsvc1.exe & exit	Shortcut
01.jpg.jpg	99.07 KB (101446 bytes)	78501660AD39494A7248BA0C96989494	hidden

nvvsvc1.exe：即為搜狗輸入法的更新工具，用virusbook檢視後可判定完全沒有問題。此外，該檔案有正常的數字簽名，見下圖。

HWSignature.dll：這個DLL原本是搜狗輸入法的硬體簽名DLL，該樣本中被劫持為惡意劫持。
HanziSort.dat：原本為搜狗輸入法與漢字相關的資料檔案，該樣本中被替換為其他資料檔案。
01.jpg.jpg：一副jpg圖片，內容為《怪物獵人官方最新價格表》，後文有展示。
圖1：指向cmd的快捷方式，其引數為cmd.exe /c nvvsvc1.exe & exit

其中，nvvsvc1.exe為主程式，其目的是載入HWSignature.dll，而HWSignature.dll會載入並解碼HanziSort.dat，進一步的，HanziSort.dat會再次解碼自身並在記憶體中釋放svchost2.dll，此後手動載入svchost2.dll，該DLL為包含惡意程式的主要功能。

傳播方式：以《怪物獵人官方最新物價表》為魚餌進行釣魚，下載解壓後，其他檔案隱藏，只能看到名稱為“圖1”的檔案，點開後確實會展示圖片，但木馬也會載入。筆者建議廣大遊戲玩家，下載的攻略要先看清是什麼東西，再點開檢視內容。

0x02 主程式分析

拿到樣本之後，首先放到virusbook查了查，主程式想必沒問題，而除此之外的一個DLL就被查出有問題了。很明顯，這是一個透過DLL劫持載入自己的木馬樣本，這種透過DLL劫持的木馬，可以算是白名單免殺嗎？這個問題先放一放，後文（0x8 結語）會給出筆者的看法。

IDA分析主程式，絕大部分都是輸入法相關的操作，中規中矩。值得注意的是，此處建立了8個執行緒。

這其中第4個執行緒，即執行sub_427C80的執行緒會進一步呼叫sub_42F090函式，在該函式的子函式中，會載入HWSignature.dll，但此處被樣本劫持，用來執行其惡意功能。

0x03 DLL分析

跟進這個DLL，進一步分析該DLL的行為。無關行為不說，該DLL會開啟HanziSort.dat檔案：

讀取其內容，並解碼：

其解碼方式很簡單，只是把讀取到的檔案內容逐位元組的與0x56做異或運算。解碼之後，成為包含可執行指令的程式段：

此後，程式會透過retn的方式跳到解碼的程式碼段執行。

0x04 DAT分析

在DAT解碼的程式碼中，首先會尋找解碼內容為0xDDCCBBAA的位置：

透過該地址，可以輔助完成一些列的定位操作，具體內容不做介紹。進而會呼叫VirtualAlloc函式分配記憶體空間，然後透過memcpy函式將指定資料複製到申請的記憶體中：

而複製過去的記憶體段，會再一次進行解碼：

p10

其解碼方式同樣比較簡單，是逐位元組與0xCC進行異或運算。當完整所有解碼工作之後，可以發現解碼之後的記憶體為一個完整的PE檔案：

p11

將該PE檔案dump出來，用檢視CFF看下，可以確認是個完整的DLL：

p12 (忽略一些細節吧。筆者懶得打碼了。)

這個DLL叫做svchost2.dll，後面的程式碼可想而知，新申請一塊記憶體

p13

然後手動完成PE的載入流程：

p14

以及根據匯入表和重定位表做一些修復工作，並載入所需的各種DLL，最後呼叫VirtualProtect更改頁保護。

p15

完成以上操作之後，呼叫DLL main函式：

p16

DLL的主函式並沒有什麼需要深入分析的地方，這裡略過。DLL main返回後，會查詢DLL匯出的mystart函式：

p17

最後呼叫mystart：

p18

0x05 mystart分析

在該函式中，首先會獲得當前僅程式的名字，並判斷名字中是否包含”1.exe”字串。

p19

獲得的樣本中，當然是包含該字串的。接下來，會進行一些有意思的事。首先會呼叫WinExec執行”taskkill /f /im cmd.exe”命令，然後建立一個互斥體。

p20

進一步的，該樣本會在C:\Users\zzz\AppData\Roaming建立一個資料夾，其名字隨機：

p21

在本次分析中為：C:\Users\zzz\AppData\Roaming\dptpbzwoztxwrh，並將樣本所在的資料夾中所有檔案都複製到該目錄下，包括ida生成的幾個檔案，但排除01.jpg.jpg。對於這幅圖片，該樣本會呼叫cmd執行rundll32.exe shimgvw.dll imageview_fullscreen 01.jpg.jpg，其作用就是把樣本中的01.jpg.jpg展示出來：

p22 （01.jpg.jpg ：什麼仇什麼怨？）