原理图
| 文件名 | 功能 |
|---|---|
| 1001.exe | 主模块 |
| camhgzsswk.sys | 释放模块 |
| p2phook.sys | 释放模块的克隆 |
| p2pc.ini | 攻击模块配置文件 |
| safemon.dll | 注入攻击模块 |
| beep.sys | 持久化攻击模块 |
主模块1001.exe
[1]创建用户mima1,运行ipconfig进行掩饰。
[2]释放病毒驱动sys文件。
[3]将病毒驱动注册成服务并启动。
[4]调用safemon.dll的p2pr函数。
[5]删除用户mima1。
[6]删除病毒驱动sys文件。
[7]运行iexplorer访问网页http://xytets.com:2345/t.asp?1002vm。
[8]退出程序。
使用Exeinfo查壳,发现该样本加了VMP2.0的壳,这个壳比较难脱,直接带壳调试。脱壳步骤见:https://blog.csdn.net/m0_37552052/article/details/94129436
程序一开始会有两处虚拟机检测的地方,分别是函数0x401560和0x401610。
左图是IDA反汇编的结果,因为vpext 7,0xB这条指令只有在虚拟机才会执行成功,所以通过判断vpext 7,0xB是否执行成功就能判断样本当前的运行环境是否为虚拟机。右图是OD调试的结果,OD已经帮我们做好了反反虚拟机的操作。
接下来来到第二个虚拟机检测的函数0x401610,它会使用如下代码来检测虚拟机。
这是一个检测VMWare后门的方法,网上有相应的介绍。
完成上述两个虚拟机检测环节后,程序会来到关键跳转处,若检测为虚拟机环节,则样本会创建一个iexplore.exe访问http://xytets.com:2345/t.asp?id=1002并直接退出。我们调试样本的核心恶意行为,所以这里通过修改Z标志位来不跳转。
进入到核心恶意代码后,程序会先创建一个临时的mima1用户,用来执行ipconfig.exe /release来释放IP地址(断网操作?),这里值得注意的是,程序没有使用CreateProcess函数,而是使用了CreateProcessWithLogon,这是因为要避开杀软挂钩监控的风险。
接着程序会在C:\Temp目录下释放一个随机名驱动sys文件(释放模块),并将其注册成服务运行。
最后,程序会调用safemon.dll(上述那个随机名sys释放的)的p2pr函数来实现提权、注入操作。
使用Everything搜索虽然能发现safemon.dll,但当我们打开文件相应路径时,确找不到文件,第一时间想到的是,病毒驱动把该病毒dll给隐藏了。
我们使用PCHunter就能看到该文件,然后将它复制到桌面就可以获取到样本了,但这里要注意的,需要对该文件进行重命名,不然复制到桌面还是找不到样本,因为病毒驱动会过滤safemon.dll的文件显示。
释放模块p2phook.sys
[1]监控主机访问杀软相关安全网站。
[2]创建病毒文件beep.sys、safemon.dll,自克隆到C:\Windows\System32\drivers\p2phook.sys。
[3]创建进程监控回调函数。
[4]若监控到有浏览器进程创建,则注入safemon.dll进行劫持。
释放模块第一步会监控杀软相关的网站,然后释放beep.sys、safemon.dll和p2phook.sys文件,其中p2phook.sys是自身的克隆。
随后,释放模块通过创建CreateProcess和LoadImage的回调来实现监控浏览器进程的创建,一旦发现有浏览器进程被创建,则立即注入攻击模块safemon.dll。
攻击模块safemon.dll
[1] 判断当前进程是否为explorer.exe,若是,则调用iexplore.exe访问l.nodsafe.com和n.nodsafe.com。
[2] 若不是(进程注入浏览器的情况),则修改当前浏览器的主页为http://www.h0120.com/?1。
safemon.dll的主要攻击目的是劫持浏览的主页,以创建ieplore.exe访问l.nodesafe.com和n.nodesafe.com。
持久化攻击模块beep.sys
[1]替换系统文件beep.sys,实现开机自启动。
[2]实时监控p2phook.sys,若文件不存在,则立即创建。
[3]将p2phook.sys注册为服务,服务名NtHook。
我们使用PCHunter可以发现,它劫持了系统的beep.sys文件。
beep.sys的功能就一个,实时监控p2phook.sys驱动文件,并开机自动将其注册成服务。
