技术分享丨Emotet银行木马宏样本分析

  XCTF联赛小秘       2021-01-20 14:13:45 821  0

一. 简介

图片
Emotet银行木马首次发现是在2014年6月份,此银行木马主要通过垃圾邮件的方式进行传播感染目标用户,是一款比较著名且复杂的银行木马。



二. 样本运行流程

图片


三. 分析

图片
邮件附件DOC样本(重命名为2021-1-13-Emotet.doc),如下所示:

打开文档之后,如下:


1、宏代码分析
使用oletools 套件的olevba,查看里面包含宏代码,如下:


2、动态调试
从上面中我们隐约可以看到调用了WMI和一堆混淆。
我们这里直接去该文档的VBA编辑器,动态的调试,看到到底发生了什么。


此处我们可以看到由Document_open()函数调用Bn2p1rxokklh_9o8
此处一共有3处函数,其中Bn2p1rxokklh_9o8()、Ipls8rqp952u2lk1(V8_prqa_b590f6uz6z)、Cws3jiyt47ovpsrhug(Mhb7dz_hsybhf0ic7)
现在 这里我们直接在函数Ipls8rqp952u2lk1中的结束处进行下断点。让我们运行下看看

我们这里注意V8_prqa_b590f6uz6z 和Ipls8rqp952u2lk1这两个变量


在这里我们可以看到V8_prqa_b590f6uz6z变量为混淆的内容,而 Ipls8rqp952u2lk1最终的解密后的值为winmgmts:win32_process,这里混淆的key为最后一处函数 Cws3jiyt47ovpsrhug(Mhb7dz_hsybhf0ic7),其中的 Replace引起了我们的注意,而w]xm[v就是我们的key

就像这样,如下图所示:


当执行到最后,我们也可以看到完整的执行代码,如下:

而完整的混淆代码为如下图所示:

使用key对其进行替换,如下图所示:

最终得出来的代码为如下图所示:

下面为执行的过程。调用cmd 进行弹窗和调用powershell:



3、PowerShell 分析

我们对其powershell中的base64进行解密。得出的代码如下图所示:

我们可以看到powershell 也是进过混淆的,其中字符串的混淆为打乱排序,经过下图的类似的处理后:

代码整理如下图所示:

大体该脚本执行的流程为:
1)创建目录为下面下载的文件提供路径。
2)下载DLL文件并命名为S93E.dll
3)调用rundll32执行DLL。

4、DLL执行

在上述过程中我对其中几个url分别进行验证。只有两个网址是可以下载DLL的:


两个DLL的md5是不同的,但是其功能是相同的,下图为完整的执行过程:

在这里调用rundll32 执行dll文件使用期函数showdialogA。对其释放和执行另一个dll文件,最后进行自我删除第一个DLL的动作:

并对其进行注册表修改,添加启动项,为其进行后期的控制:

同时我们可以看到 该DLL对外进行通信:



四. IOC

文件名:"QD0948945078TQ.doc"sha256:  27e5abb8149408da077133529e8da246c1003edc20974635d6757e05798d78c5  sha1:  3a7a405ef3df95c1cfa18284749ff885a6430a88  md5:  2b310974bb4a113881471845a109b3de  
DLL文件  md5  C:\Users\admin\Kjl48kr\Nqm9ty9\S93E.dll  0a3a2efb412b08e886f9856a5093c6e4    md5  C:\Users\admin\Kjl48kr\Nqm9ty9\S93E.dll  617231616b57a1a09e14cf068d9c8a21  
DNS requests    www.starlingtechs.com
Connections  ip  71.72.196.159

HTTP/HTTPS 请求  url  https://www.starlingtechs.com/GNM/    url  http://71.72.196.159/3xjgiyzod/r2dsukigxsy2d/4r9mzyqmmbgte85/nemcrg565qsoiqnnoa/fgpz1c4ee1mmcc/4wuwc0y5xm79x/

参考链接:

https://www.virustotal.com/gui/file/27e5abb8149408da077133529e8da246c1003edc20974635d6757e05798d78c5/behavior
https://app.any.run/tasks/beef10b6-bc74-4f38-adf4-b9a3e83082b3/
https://www.cynet.com/attack-techniques-hands-on/powershell-obfuscation-demystified-series-chapter-2-concatenation-and-base64-encoding/


请先登录
+1 已点过赞
0
分享到: