吾爱破解 - LCG - LSG |安卓破解|病毒分析|破解软件|www.40881110.com

 ?#19968;?#23494;码
 注册[Register]

QQ登录

只需一步£¬快速开始

查看: 5363|回复: 70
上一主题 下一主题

[PC样本分析] GandCrab V2.0 详细分析

  [复制链接]
跳转到指定楼层
楼主
沭阳 发表于 2019-4-16 10:09 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护£¬压缩密码:52pojie£¬否则会导致论坛被杀毒软件等误报£¬论坛有权随时删除相关附件和帖子£¡

说明£º

  萌新一枚£¬热爱病毒分析£¬喜欢看论坛大佬的病毒分析文章¡£大佬们的文章都是直击要害£¬简洁明了£¬懂的人自?#27426;?#25026;£¬但像我这样的小白分析起来的时候£¬面对成百上千行汇编代码£¬往往容?#21331;?#22771;£¬程序乱飞£¬自信心受到严重打击¡£最近春招也在找相关工作£¬所以我尽可能详细的分析了这个病毒£¬并整理成文£¬篇幅也因此较长¡£新手第一次发帖£¬如有不当错误之处£¬欢迎大佬们批评指正£¬一起交流共同进步£¡


一¡¢前言£º

  自从2017年5月12日£¬WannaCry蠕虫通过Ms17-010漏洞在全球范围大爆发之后£¬各式各样的勒索病毒也伴随着数?#21482;õ±一?#20102;起来£¬其中最主要的原因就是这种简单?#30452;?#30340;勒索方式给黑客带来了快速并且巨大的?#25214;æ¡?#38543;着企业和信息化时代的?#27426;?#21457;展£¬可以预见的是勒索病毒攻击?#27493;?#20250;变得更加频繁多样¡£
  ?#22771;?#21202;索病毒国内主要以Globelmposter¡¢CrySiS/Dharma¡¢GandCrab¡¢Satan¡¢Scarab¡¢Matrix¡¢STOP¡¢Paradise家族为主¡£其中GandCrab堪称是2018勒索病毒界的¡°新星?#20445;?#35813;勒索病毒于2018年1?#36335;?#39318;次出现V1.0£¬一直到现在的V5.2版本£¬在此之中也有多个小版本的出现£¬活跃程度十分的高¡£它主要采用的方式是通过邮件附件£¬RPD爆破等方式来进行定向攻击¡£有意思的是第一版本的GandCrab勒索病毒因C&C被安全公司与警方合作后控制而登?#32454;?#22823;科技?#25945;?#22836;条£¬在V2家族的样本中£¬病毒作者使用极具挑衅意味的C&C地址(C&C地?#20998;?#21253;含针对警方和安全公司的?#22336;?#20869;容)£¬又一次登上科技新闻版面¡£如今£¬它也被打上另外一个标签£¬¡°侠盗病毒¡±¡£在2018年10月16日£¬一位名叫Jameel的叙利亚父?#33258;ÚTwitter上发帖求助£¬说自己的电脑感染了GandCrab V5.0.3病毒£¬电脑中的文件遭到了?#29992;Ü£?#30001;于无力支付高达600美元的赎金£¬他将再也看不到在战争中丧生的小儿子照片¡£GandCrab作者看到后£¬随即发布?#35828;?#27465;声明£¬并称无意感染叙利亚地区的用户£¬随后放出了部分叙利亚感染者的解密密钥¡£GandCrab?#27493;?#34892;了更新到V5.0.5£¬将叙利亚?#25512;?#20182;战乱地区加进了感染区域¡°白名单¡±¡£此事一出£¬不少人对这款病毒顿生好感£¬觉得它盗亦有道£¬称呼它为¡°侠盗病毒¡±¡£一码归一码£¬大家别因这事被?#26432;?#20102;双眼£¬我国可是深受其害的重灾区¡£根据国家网络与信息安全信息通报?#34892;?#30417;测£¬GandCrab V5.2自从2019年3月11日开始在中国肆虐£¬?#22771;?#24050;经攻击了上千台政府£¬企业以及相关科研机构的电脑¡£今天我分析的就是V2家族样本£¨去年的样本£¬希望大家不嫌弃£¬学习到知?#27602;?#22909;£©¡£

二¡¢行为概述£º

样本信息£º

病毒名称£ºhmieuy.exe
文件大小£º308 KB (315912 ?#32440;?
病毒版本£ºV2.0
MD5值£ºf42774332fb637650ff0e524ce1b1685
SHA-1值£º0012363a8a6efdd93fbd4624ee5e8ddf1f7be8d5
SHA-256值£º15846ed8f38c0fac876b96a9d2eb55c3c98a428147ae372ade22efb854cfc4aa
CRC32值£º9732F21C  

样本来源£º

http://www.40881110.com/thread-712552-1-1.html

VirusTotal£º

https://www.virustotal.com/#/file/15846ed8f38c0fac876b96a9d2eb55c3c98a428147ae372ade22efb854cfc4aa/detection

三¡¢病毒分析环境及工具£º

环?#24120;ºOracle VM VirtualBox¡¢Windows 7 Service Pack 1(x64)
工具£ºPEID V0.95¡¢OD¡¢IDA¡¢Resource Hack¡¢火绒剑¡¢010editor

四¡¢基础病毒分析£º

查壳£º

使用PEID工具对样本进行查壳£¬初步判断病毒无壳£¬使用C++编写完成

  

使用IDA与Resource Hack进行基础静态分析£º

导入表£º

?#22336;?#20018;£º

资源信息£º

基础静态分析总结£º
通过查看样本的导入表£¬?#22336;?#20018;£¬资源段信息除了EnumResourceNamesA函数外并没有发?#31181;?#24471;我们尤其注意的信息£¬例如?#29992;?#30456;关函数¡¢注册表相关函数¡¢cmd命令等£¬由此可以大胆推测病毒在运行的时候对资源段进行了解码£¬然后跳转到解码部分继续运行¡£

使用火绒剑进行基础动态分析£º

进程监控£º

可以看到病毒?#27426;?#20351;用nslookup.exe程序£¨nslookup.exe主要是用于查询Internet域名信息或诊断DNS服务器问题的工具£©£¬而?#20197;?#26080;其它子进程£¬具体原因后续会有详细分析¡£
文件监控£º

病毒对文件的主要操作就是在缓存文件目录下创建了一个exe文件£¬通过后续分析发现文件名称为随机值£¬同时在浏览器目录下发现了¡°ipv4bot[.]whatismyipaddress.com¡±的临时缓存文件£¬推测病毒文件会让受害者机器访问¡°http[:]//ipv4bot.whatismyipaddress.com¡±网站从而获得受害者机器的外网IP地址

注册表监控£º


病毒对注册表的主要操作除了获取主机相关信息就是在¡°HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\¡±下创建了一个¡°ftlcsuhkgnl¡±随机键£¬值就是刚刚在缓存文件夹下的exe程序£¬这里就是病毒程序的自启动¡£  

注意£º
¡°HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\¡±和¡°HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\¡±这对注册表路径都是病毒程序常用的自启动路径£¬区别就是RunOnce 下的键值只执行一次£¬操作执行后会被自动删除¡£  

网络监控£º


病毒对网络的主要操作就是伪装成火狐浏览器对¡°66[.]171.248.178¡±进行访问£¬这个IP地址对应的域名其实就是¡°http[:]//ipv4bot.whatismyipaddress.com?#20445;?#36825;也和前文所提到的创建浏览器临时缓存信息相吻合¡£nslookup连接的IP¡°202[.]195.48.10¡±是扬州市教育网IP¡£
基础动态分析总结£º
通过病毒样本的基础动态信息可以发现病毒会将自己放入缓存文件夹并通过注册表实现自启动£¬会查询大量主机信息£¬并?#20063;欢?#20351;用nslookup.exe程序进行域名查询操作£¬但是奇怪的是并没有发现常见的勒索病毒主要操作£¬?#27426;?#30340;循环文件£¬创建文件£¬创建勒索信息£¬将主机信息发送给病毒服务器等操作£¬我的主机系统文件也并没有得到?#29992;Ü£?#30475;来是病毒程序运行到某处进入死循?#32602;?#27809;有完整的运行起来¡£下面我们来进行详细的病毒分析¡£

五¡¢详细病毒分析£º

解密shellcode分析£º

首先通过IDA定位到程序入口点004010B4£¬然后跳转到00401D40开始程序的运行

在运行过程中发现大量的无用循环和无意义函数来干扰我们的分析£¬例如

这样大数据量的循环毫无作用并且浪费时间£¬我们可以选择nop掉或者在循环下面设置一个断点£¬运行程序¡£同时对于无意义的函数应当选择单步略过£¬切不可在这些病毒作者故意干扰我们分析的地方钻牛角尖和死磕¡£时间就是生命£¡
接着往下分析发现在一个大的循?#20998;У?#26377;GetMoudleHandleA函数£¬?#38382;?#26159;kernel32.dll£¬下面也出现了GetProcAddress函数£¬?#38382;ýGlobalAlloc£¬所以推测这个大循?#20998;?#19981;够又是一个干扰我们分析的手段£¬得到kernel32.dll的地址才是真¡£

通过kernel32.GetprocAddress函数得到GlobalAlloc函数£¬然后调用得到一个新分配的内存句柄

下面调用EnumResourceNameA?#27602;?#36164;源£¬然后将资源数据复制到新内配的内存

下面发现病毒调用VirtualProtect函数更改新分配的内存保护属性为可读£¬可写£¬可执行£¬然后对这快内存的数据进行解密£¬最后调用执行内存代码

对新的内存信息进行解密操作

解密之后的shellcode

得到shellcode之后我们可以dump下来保存为shellcode.txt方便我们拖入IDA进行静态分析

Shellcode分析:

由于shellcode是一小段代码£¬不?#35272;?#20110;系统环?#24120;?#25152;以IDA难以F5帮助我们进行静态分析£¬我们只能通过常见的shellcode编?#27492;¼Â方?#34892;分析¡£
首先进入sub83A函数发现了常见的定位kernel32.dll基地址的操作

经过一次循环匹配到kernel32.dll£¬找到的话EAX为0

遍历kernel32.dll的导出表获得GetProcAddress函数地址


通过GetProcAddress得到LoadLibraryA函数地址


接下来程序返回£¬进入sub_3C函数£¬首先通过LoadLibraryA加载kernel32.dll£¬然后调用GetProcAddress函数获取VirtualAlloc£¬VirtualProtect£¬VirtualFree£¬GetVersionExA£¬TerminateProcess函数地?#32602;?#26041;便后续调用


接着程序申请了一快新的内存空间£¬大小为23400h£¬推测病毒将对这块内存空间写入所需数据£¬需要重点关注

运行完00F72C70函数之后发?#25351;?#21018;申请的内存空间变成了PE文件数据£¬所以00F72C70函数应为解密PE文件函数£¬将此时的PE文件dump下来方便我们可以用IDA分析£¬命名为PE1

之后改变这块内存保护属性£¬将PE1文件加载到内存
PE头复制:

区?#38382;?#25454;复制£º

将PE1文件复制到内存后£¬下面就是对IAT表的修复

接着往下分析的时候£¬遇到了大量的花指令和无意义函数£¬干扰我们的分析£¬但是我们可以看到有个ReflectiveLoader£¬所以推测病毒应该使用的是反射注入的方式来让核心Dll自动运行£¬可以理解为反射注入自身£¬因为全程没?#26032;?#22320;£¬大大降低了被杀软查杀的风险£¬关于反射注入£¬下面也会做个简单讲解

由于存在大量的花指令£¬可以选择打开IDA看下PE1£¬发现有个VirtualProtect函数的调用£¬根据我们常见经验推测£¬病毒应该是申请了一块内存空间£¬写入核心dll文件£¬修改属性£¬调用ReflectiveLoader£¬实现核心程序的运行

所以我们直接在OD下断£¬bp VirtualProtect£¬然后运行程序£¬成功断下£¬发现地?#38450;?#33258;004120C0£¬查看00410C0处的内存数据发现是个PE文件£¬可以dump下来£¬命名为PE2.dll

我们可以往上看下这个PE文件的由来£¬在004120C0创建硬件写入断点£¬重新运行程序£¬发现程序先在004120C0处写入一堆数据£¬然后进行异或操作£¬最终解密出了核心PE2.dll

之后程序进入00401113函数£¬然后在00401069函数发现了程序寻找导出函数ReflectiveLoader的文件偏移位置£¬接着修改内存保护属性£¬调用ReflectiveLoader£¬这个与我们前面直接在VirtualProtect上下断点的效果是一致的£¬所以在分析病毒时一定要抓住关键点£¬根据经验合理选择下断函数和方式能大大提高我们的分析效率


这时我们进入ReflectiveLoader函数£¬看看病毒是如?#38382;µÏ址?#23556;注入的£¬打开IDA£¬把刚刚dump下来的PE2.dll载入£¬查看导出表£¬打开ReflectiveLoader函数£¬得到dll基?#32602;?#39564;证PE



下面程序通过PEB结构£¬找到ntdll.dll和kernel32.dll基?#32602;?#36941;历导出函数£¬?#21592;ÈHASH值£¬找到ntdll.dll中的NtFlushInstructionCache()函数£¬kernel32.dll中的LoadLibraryA函数£¬GetProcAddress函数以及VirtualAlloc函数


然后调用VirtualAlloc£¬得到一块新的内存空间

下面程序将004120C0处的PE2.dll文件头和各个节数据复制到新分配的内存空间

接着对PE2.dll的IAT表修复£¬与PE1文件修复IAT表的方式一样£¬相关注释参考上文

下面是对PE2.dll的重定位表进行修复


下面程序找到OEP£¨RVA£©£¬然后?#30001;?#27169;块基?#32602;?#24471;到OEP在内存中的地?#32602;?#25509;着调用FlushInstructionCache函数£¬刷新指定进程的指令高速缓存£¬最后进入OEP£¬开始核心病毒程序的真正运行

简要总结£º
根据前面分析感受到病毒分析不是简单搜索API功能就能很好掌握的£¬还需要对一般shellcode的常见编?#27492;¼Â罚¬PE文件结构£¬导出表修复£¬重定位修复£¬花指令判断以及选取合适的下断时机和方式等有所了解£¬这样才能提高分析效率£¬不能太粗糙£¬也不能太钻牛角尖¡£

PE2.dll分析£º

¡°解剖¡±了半天£¬终于来到了病毒核心代码£¬为了更能模块化分析总结这个病毒£¬我们大致将病毒代码分为三个部分£º初始化部分£¬网络部分£¬?#29992;?#25991;件部分
将PE2.dll加载IDA和OD  

初始化部分£º

首先病毒会?#31227;?#20027;线程£¬然后创建一个新线程£¬在OD中PE2.72744B20处下断£¬运行程序来到此处


接着程序储存一些?#22336;?#20018;£¬方便后续获取信息后拼接

然后通过相关API函数和查询注册表键值得到系统信息£¬包括用户名£¬主机名£¬处理器类型£¬操作系统版本£¬IP地?#32602;¬´排?#31354;间£¬系统语言等£¬之后会对得到的信息拼接£¬通过调用RtlComputerCrc32函数得到一个?#29992;?#20540;


之后会根据获取到信息的长度分配一块内存空间£¬开始进行?#22336;?#20018;拼接£¬其中重要的ransomid值是利用之前获得的CRC32?#29992;?#20540;?#25512;?#23427;内存数据拼接成十六进制整数得到的£¬随后根据拼接成的?#22336;?#20018;信息创建唯一互斥体£¬防止程序多开£¬否则结束程序£¬最后清理内存空间



之后病毒程序会创建一个线程来查找卡巴斯基的klif.sys¡¢kl1.sys£¬F-secure的Fsdfw.sys£¬赛门铁?#35828;ÄSrtsp.sys¡¢strsp64.sys£¬诺顿的Navex15.sys¡¢naveng.sys的驱动程序£¬如果上面的驱动程序存在则退出£¬否则将自身写入到缓存目录下£¬通过注册表实现自启动£¬详细分析如下
查找klif.sys和kl1.sys


查找其它的安全驱动所使用的函数都是一样的£¬传入的?#38382;?#19981;一样罢了£¬这里就不截图展示了¡£下面就是复制自身到缓存目录创建的Microsoft文件夹下£¬实现自启动的分析过程
获取当前模块路径和临时目录£¬获取?#22336;?#20018;£¬创建CSP并通过调用CryptGenRandom获取随机值£¬然后使用自己的?#29992;?#26041;式获取随机?#22336;?#20018;


最终得到的随机?#22336;?#20018;

下面程序得到系统环境变量£¬利用上文最终得到的随机?#22336;?#20018;拼接成路径

将当前模块所在程序数据写入到新创建的文件


下面就是病毒的设置注册表自启动


随后病毒结束刚刚的进程£¬由于怕在?#29992;?#25991;件的时候£¬文件被一些进程所占用£¬所以下面病毒开始结束指定进程


下一个函数作用是完善勒索文本信息£¬首先和之前一样获取系统信息£¬然后将random_id后的值写入到勒索文本信息{USERID}处


下面开始密钥的导出£¬程序先申请两块内存空间用于存放公钥和私钥
Microsoft Base Cryptographic Provider v1.0£º密钥长度512位
Microsoft Enhanced Cryptographic Provider v1.0£º密钥长度1024位£¨此次病毒程序使用£©

公钥信息

私钥信息
  

网络部分£º

接着病毒程序往下运行£¬和之前一样获取主机信息£¬这次获取到的信息比较全面£¬其中还?#20801;?#20837;法主键信息进行检查£¬如果是俄罗斯的就不攻击£¬这就有理由怀疑GandCrab是俄罗?#36141;?#23458;团伙制作的¡£病毒同时还会对杀毒软件进行检查


下面就是病毒程序伪装火狐浏览器向¡°ipv4bot[.]whatismyipaddress.com¡±发送数据并?#37038;Õ£?#20174;而得到我的外网IP地址


?#32454;?#31283;£¡

随后将公钥£¬私钥数据进行Base64位编码£¬并且与获取到的其它系统信息进行整合£¬最终得到要发送的未?#29992;?#20449;息


未?#29992;?#20449;息

结合CRC32和自己写的?#29992;?#31639;法?#29992;?#21069;面的明文数据得到


最后£¬对?#29992;?#21518;的数据进行Base62编码£¬方便发送

之后病毒会创建进程£¬使用nslookup来对服务器地?#26041;?#34892;解析£¬并且利用管道通信技术读取创建的子进程信息£¬解析成功则会得到病毒的服务器地址



由于服务器已经凉了£¬所以没有正确的解析出地址

没有解析出来地?#32602;?#31243;序会进入循?#32602;¬²欢?#35299;析malwarehunterteam[.]bit£¬politiaromana[.]bit£¬gdcb[.]bit地?#32602;?#36825;也就是我静态分析的时候£¬程序?#27426;?#25171;开nslookup程序£¬进入死循环的原因

经过多次解析发现£¬不知道为什么有时候病毒会错误的将我的大公网IP当成服务器地?#32602;?#36827;行数据发送£¬当然病毒?#32454;?#19981;会这?#27492;?#24847;的犯这种错误的£¬所以当网络解析错误或者服务器异常的时候£¬再次进入循环

由于我多次运行程序£¬要发送的?#29992;?#25968;据也发生了变化


网络分析部分总结£º
要了解常用的?#29992;?#26041;法£¬对于病毒作者自己写的?#29992;?#26041;式£¬除非我们有逆向需求否则可以直接单步步过£¬节省时间¡£也要对管道通信技术有所了解£¬多见写编?#27492;?#36335;和方法£¬以后会帮助我们分析的越来越快  

?#29992;?#37096;分£º

由于我们无法正确的解析服务器地?#32602;?#25152;以只能强制跳转£¬让程序继续运行下去£¬简单修改Z标志位即可

下面指定不?#29992;?#25991;件后缀

之后初始化临界区域对象£¬终于来到了病毒的核心£¬文件?#29992;?br />
进入?#29992;?#20989;数之后£¬病毒首?#28982;á¶源排?#31867;型进行判断£¬?#25490;?#31867;型有以?#24405;?#31181;  

  1. [0]DRIVE_UNKNOWN       无法识别的设备  
  2. [1]DRIVE_NO_ROOT_DIR   给出的名字不存在  
  3. [2]DRIVE_REMOVABLE     可移动?#25490;?nbsp; 
  4. [3]DRIVE_FIXED             固定?#25490;?nbsp; 
  5. [4]DRIVE_REMOTE          网络?#25490;?nbsp; 
  6. [5]DRIVE_CDROM            CD光驱  
  7. [6]DRIVE_RAMDISK         RAM£¨内存虚拟盘£©
      

当?#25490;?#31867;?#22836;?#21512;?#29992;?#26465;件的时候£¬进入?#29992;?#32447;程函数£¬首先指定不?#29992;?#25991;件目录£¬防止因关键目录被?#29992;?#21518;系统无法运行
过?#35828;?#25991;件目录£º

  • ProgramData  
  • IETldCache  
  • Boot  
  • Program Files  
  • Tor Browser  
  • Ransomware  
  • All Users  
  • Local Settings  
  • Windows  

其他特殊文件目录£º  

  • C:\Program Files (x86)  
  • C:\Program Files (x86)\Common Files  
  • C:\Windows  
  • C:\Users\yxx\AppData\Local

    比较文件后缀是否是¡°.sql¡±

    然后创建勒索信息文本

    之后会判断是不是目录£¬是的话递归£¬否则准备?#29992;?br />
    此处我利用IDA中一个文件hpux.til做事例£¬将它内容写成aaaaa£¬方便我们后续观察病毒首先利用获取到的文件路径得到后缀£¬然后与前面储存的不?#29992;?#25991;件后缀做?#21592;?br />
    然后判断文件名是否是以下特殊文件
    desktop.ini¡¢autorun.inf¡¢ntuser.dat¡¢iconcache.db¡¢bootsect.bak¡¢boot.ini¡¢ntuser.dat.log¡¢thumbs.db¡¢CRAB-DECRYPT.txt

    既不是要过?#35828;?#21518;缀£¬也不是特殊文件之后£¬程序来到文件?#29992;?#20989;数¡£先对文件系统属性进行设置£¬然后拼接成新的文件名

    通过调用CryptGenRandom函数对?#22336;?#20018;GandCrabGandCrab随机

    随机后得到长度0x10随机值£¬命名为R1

    同样的£¬下面对?#22336;?#20018;GandCrabGandCrabGandCrabGandCrab随机£¬得到长度0x20随机值£¬命名为R2

    之后对随机后的GandCrabGandCrabGandCrabGandCrab值利用之前导出的公钥进行?#29992;?br />
    得到?#29992;?#21518;的数据£¬命名为G1

    同样£¬之后对随机后的GandCrabGandCrab值利用之前导出的公钥进行?#29992;Ü£?#24471;到?#29992;?#21518;的数据£¬命名为G2

    之后程序通过ReadFile将待?#29992;?#25991;件读入到内存空间

    做?#20204;?#26399;这些准备之后£¬病毒开始?#29992;?#21862;£¡

    进入最终?#29992;?#25991;件函数之后£¬将原文件数据与R1异或

    异或后

    对文件?#32440;?#25968;进行判断£¬以大小0x10为判断标准£¬执行不同的?#29992;?#27969;程£¬但最核心的?#29992;?#20989;数是一样的

    这个函数前期是将原文件与R1异或之后的数据存入4个寄存器£¬然后4个寄存器再分别于R2分?#38382;?#25454;进行异或

    之后运行作者自写的?#29992;?#31639;法£¬反汇编出来大约500行

    最终得到?#29992;?#21518;的数据

    获取到最终?#29992;?#25968;据之后£¬设置文件指针£¬程序开始写入文件£¬一共写入4?#38382;?#25454;

    第一段£º

    第二段£º

    第三段£º

    第四段£º

    最终打开?#29992;?#21518;的文件£¬发现与我们分析出的结果是一致的

    至此文件?#29992;?#37096;分分析完毕,病毒开始下面的首尾工作
    检查程序运行权限:

    检查系统版本:

    删除?#25490;?#21367;影,达到无法还原备份的作用

    自删除:

    再往下分析的时候£¬OD发生奔溃£¬电脑全部文件也都被?#29992;Ü£?#32467;尾部分没什么太值得我们关注的地方£¬整个病毒的分析到这里也就结束了£¡  

GandCrab V2.0 行为流程总结£º

  

技术思考总结£º

  1. 病毒对核心程序的保护很深£¬最终通过反射注入的方式实现Dll的加载运行£¬这里对反射注入进行简单介绍£º
    传统的Dll注入方式大家一定都很熟悉了£¬利用CreateRemoteThread方式?#21019;?#24314;远程线程£¬让目标进程调用LoadLibrary函数£¬从而加载写在目标进程中的Dll文件路?#19969;?#36825;个方法由于被大量恶意软件使用£¬过于套路化£¬同时要加载的Dll文件必须在?#25490;ÌÉ下?#22320;£¬这就大大增加了被查杀的风险¡£但是反射注入的方式可以减少文件落地被查杀的风险¡£反射注入的基本思路就是£¬我们可以将?#29992;?#30340;Dll保存在?#25490;Ì£?#20043;后将其解密放在内存?#23567;?#28982;后使用VirtualAlloc和WriteProcessMemory将Dll写入目标进程¡£由于我们不能使用LoadLibrary函数£¬要想实现Dll的加载运行£¬我们需要在Dll中添加一个导出函数£¬ReflectiveLoader£¬这个函数实现的功能就是加载自身¡£所以我们将Dll写入目标进程后£¬只需要通过Dll的导出表找到ReflectiveLoader函数并调用它£¬就可以了¡£这个技术的?#35757;?#22312;于£¬我们无法判断将Dll写入在目标进程的哪块虚拟空间£¬所以我们编写的ReflectiveLoader函数必须是地址无关的£¬这也与我们刚刚分析的病毒编?#27492;?#36335;相吻合¡£  
  2. 合理下断£¬及时Dump£¬不要被病毒的花指令?#25512;?#23427;干扰函数迷惑住  
  3. 打?#20301;?#30784;£¬熟悉常见的ShellCode¡¢修复IAT¡¢修复重定位思路  
  4. 一定要有耐心£¬虚拟机备份£¬程序跑飞了再来£¬相信自己一定能分析完的  
  5. 自己分析完毕与整理成文并分享出来的感受是不一样的£¬后者学到的更多¡£所以大家有什么收获心得要多多分享£¬一起交流£¬希望这个圈子越来越好£¡  

    防护建议£º

    1¡¢个?#35828;?#33041;¡¢服务器应及时打补丁£¬修复漏洞
    2¡¢对重要的数据文件定期进行非本地备份
    3¡¢不要点击来源不明的邮件附件£¬不从不明网站下载软件
    4¡¢尽量关闭不必要的文件共享权限
    5¡¢更改账户密码£¬设?#20204;?#23494;码£¬避免使用统一的密码
    6¡¢GandCrab勒索软件会利用RDP(远程桌面协议£©£¬如果?#28404;?#19978;无需使用RDP的£¬建议关闭RDP  

    相关IOC£º

    gdcb.bit
    ns1.virmach.ru
    politiaromana.bit
    malwarehunterteam.bit
    MD5£ºf42774332fb637650ff0e524ce1b1685
    SHA-1£º0012363a8a6efdd93fbd4624ee5e8ddf1f7be8d5
    SHA-256:15846ed8f38c0fac876b96a9d2eb55c3c98a428147ae372ade22efb854cfc4aa  

    参考文章£º

    http://www.40881110.com/thread-712552-1-1.html
    https://www.freebuf.com/articles/paper/171110.html

免费评分

参与人数 40吾爱币 +57 热心值 +40 收起 理由
zhaooptimus + 1 + 1 谢谢@Thanks£¡
非法管理者 + 1 + 1 用心讨论£¬?#19981;?#25552;升£¡
000000 + 2 + 1 用心讨论£¬?#19981;?#25552;升£¡
qyh1989324 + 1 + 1 谢谢@Thanks£¡
socky + 1 + 1 用心讨论£¬?#19981;?#25552;升£¡
TazBbB9Wat81 + 1 + 1 谢谢@Thanks£¡
simplex + 1 + 1 用心讨论£¬?#19981;?#25552;升£¡
葱头呀 + 1 + 1 鼓励转贴优秀软件安全工具和文档£¡
晨已落 + 1 + 1 谢谢@Thanks£¡
爱你爱一生 + 1 + 1 谢谢@Thanks£¡
?#20808;?/a> + 1 + 1 谢谢@Thanks£¡
naiteluode + 1 + 1 谢谢@Thanks£¡
you920928 + 1 + 1 谢谢@Thanks£¡
smile1110 + 3 + 1 谢谢@Thanks£¡
如影随风 + 1 + 1 我很赞同£¡
poisonbcat + 1 + 1 用心讨论£¬?#19981;?#25552;升£¡
?#20332;?#39118;云 + 1 + 1 ?#34892;?#21457;布原创作?#32602;?#21566;爱破解论坛因你更精彩£¡
?#23383;?#22253; + 1 + 1 谢谢@Thanks£¡
NkaGG + 1 + 1 用心讨论£¬?#19981;?#25552;升£¡
backing + 1 + 1 用心讨论£¬?#19981;?#25552;升£¡
JakerPower + 1 谢谢@Thanks£¡
无痕软件 + 3 + 1 谢谢@Thanks£¡
佚名RJ + 2 + 1 不要拦我£¬看到这样的萌新我反手就是一波评分
hahahunqiu + 1 + 1 热心回复£¡
白日梦梦妖 + 1 谢谢@Thanks£¡
willJ + 12 + 1 厉害了£¬非常不错的分析文章
chixinfeng + 1 + 1 热心回复£¡
linuxd + 1 + 1 用心讨论£¬?#19981;?#25552;升£¡
sunnylds7 + 1 + 1 热心回复£¡
kiseyzed + 2 + 1 用心讨论£¬?#19981;?#25552;升£¡
?#31995;?/a> + 1 + 1 谢谢@Thanks£¡
siuhoapdou + 1 + 1 用心讨论£¬?#19981;?#25552;升£¡
Populace + 1 + 1 谢谢@Thanks£¡
东门拉风 + 1 + 1 谢谢@Thanks£¡
a1142099496 + 2 + 1 欢迎分析讨论交流£¬吾爱破解论坛有你更精彩£¡
vsyour + 1 + 1 我很赞同£¡
夜祭祀 + 1 + 1 用心讨论£¬?#19981;?#25552;升£¡
qlcyl110 + 1 + 1 强烈关注一波!!!太详细;了
WYWZ + 1 + 1 你给我们带来了生活安宁¡¢啊哈啊啊哈啊黑猫警长 ...
爷单身1却潇洒 + 1 + 1 谢谢@Thanks£¡

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用¡¾论坛搜索¡¿功能£¬那里可能会有你要找的答案或者已经有人发布过相同内容了£¬请勿重复发帖¡£

推荐
z002168 发表于 2019-4-16 11:18
我昨天就遭了这个病毒£¬就是这个?#35828;?#21457;的软件http://www.40881110.com/thread-925727-1-1.html

点评

我看了你发的这个链接附件没啥问题£¬你咋确定是这个软件的问题£¿  详情 回复 发表于 2019-4-16 14:36
推荐
joody 发表于 2019-4-16 11:10
这边分析很有意义£¬我之前就中了这个病毒£¬幸亏数据有备份¡£
4#
 楼主| 沭阳 发表于 2019-4-16 11:13 |楼主
joody 发表于 2019-4-16 11:10
这边分析很有意义£¬我之前就中了这个病毒£¬幸亏数据有备份¡£

是的£¬重要数据定期备份是个好习惯£¬勒索病毒越来?#35762;þâ保?#21464;种也越来越多£¬注意安全

点评

我一只想把头像换成一?#27426;ú£?#21704;哈£¬黑猫警长  详情 回复 发表于 2019-4-18 14:49
5#
bester 发表于 2019-4-16 11:20
现在萌新的门槛都这么高了吗£¿
6#
 楼主| 沭阳 发表于 2019-4-16 11:28 |楼主
z002168 发表于 2019-4-16 11:18
我昨天就遭了这个病毒£¬就是这个?#35828;?#21457;的软件http://www.40881110.com/thread-925727-1-1.html

如果确认是这个软件引起的话£¬那得抓紧举报了£¬不然有更多坛?#35328;?#27523;£¬多谢提醒
7#
 楼主| 沭阳 发表于 2019-4-16 11:30 |楼主
bester 发表于 2019-4-16 11:20
现在萌新的门槛都这么高了吗£¿

论坛高手如云£¬萌新保平安
8#
ixsec 发表于 2019-4-16 12:36
这都是小白吗£¿£¿ 那我¡£¡£¡£¡£哎 离小白差的十万八千里¡£¡£¡£¡£
9#
4125891 发表于 2019-4-16 12:58
真的是太必了£¡萌新强烈学习了一下£¡成功LV UP£¡
10#
z002168 发表于 2019-4-16 12:59
这个只要一打开应用QQ  或者其他软件就报毒
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告£º禁止回复与主题无关内容£¬违者重罚£¡

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2019-5-22 11:02

Powered by Discuz!

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表
Çò̽ÍøÀºÇòÖ¸Êý