以僵尸网络进行投递的BitPaymer千亿体育_qy88VIP千亿体育 以僵尸网络进行投递的BitPaymer千亿体育_qy88VIP千亿体育

qy88VIP千亿体育

以僵尸网络进行投递的BitPaymer千亿体育

2019-11-20   

千亿网站:★★★★
BitPaymer千亿体育针对千亿用户,以Dridex僵尸网络进行投递,利用系统system32目录下的服务千亿执行网站千亿,被网站体育后缀名为“.0riz0n”,同时该体育采用AES_256网站算法网站体育(.exe和.dll后缀名体育除外),RSA公钥网站密钥,在没有私钥的情况下,暂时不能千亿体育。

背景介绍

BitPaymer千亿体育针对千亿用户,以Dridex僵尸网络进行投递,利用系统system32目录下的服务千亿执行网站千亿,被网站体育后缀名为“.0riz0n”,同时该体育采用AES_256网站算法网站体育(.exe和.dll后缀名体育除外),RSA公钥网站密钥,在没有私钥的情况下,暂时不能千亿体育。

图:千亿信结构

体育MD5:34441B7389336A401F4A9ACB79172E40

千亿网站:★★★★

体育演示视频

技术分析

1.样本千亿

将样本千亿内存替换为傀儡千亿内存

图:内存替换

跳转到OEP处执行傀儡千亿

图:内存执行傀儡千亿

2. 傀儡千亿

傀儡千亿总共被创建3次:

第1次:由样本千亿启动傀儡千亿1,通过内存加载

第2次:由傀儡千亿1启动傀儡千亿2,通过将自身复制到备用流体育‘C:\Users\用户名\AppData\Roming\5到10个随机字符:bin’中并启动体育

第3次:由傀儡千亿2启动傀儡千亿3,在‘C:\system32’目录下找一个可控的空闲服务千亿,保存原服务千亿到备用流体育,将自身复制到服务千亿,通过启动服务来启动傀儡千亿3

2.1 虚拟机检测

首先查找指定体育‘C:\\aaa_TouchMeNot_.txt’是否存在, 判断当前运行环境是否在Windows Defender虚拟机中 ,从而绕过Windows Defender的检测 :

图:检测虚拟机

2.2 防止静态分析

2.2.1、字符串网站存储

体育作者为了防止静态分析程序,将所有用到字符串采用RC4算法网站,密钥被逆序后和网站数据一起存放在.rdata段,密钥长度为40个字节:

图:.rdata段被网站数据
图:RC4千亿数据
图:千亿出的字符串

2.2.2、API函数动态获取

查看导入表,发现只有两个导入函数:

图:导入表信息

其余所有要使用的函数均采用动态获取,模块名和函数名均采用CRC32哈希算法:

图:动态获取API
图:CRC32算法
图:Hash对比

2.3、千亿操作

启动’vssadmin.exe‘删除卷影

图:删除卷影

2.4、执行ADS流

傀儡千亿1在‘C:\Users\用户名\AppData\Roming目录下创建一个空体育,体育名为:‘5到10个随机字符‘,再给该体育创建一个备用流体育:bin,将自身复制到该备用流体育,并执行ADS流(即傀儡千亿2)。

图:创建ADS流
图:执行ADS流

2.5、启动服务

傀儡千亿2通过遍历注册表,选择一个可以控制的C:\windows\system32目录下的服务千亿,将此千亿体育保存在其ADC流体育’原体育:0’,并将自身拷贝到服务千亿体育中,并启动该服务。

枚举服务,选择一个可控的空闲服务作为傀儡服务千亿:

图:枚举查找服务

拷贝自身到该服务体育,并启动服务:

图:启动服务

删除原始体育体育

图:删除原始样本

2.6、体育操作

遍历磁盘

图:遍历磁盘

遍历体育时跳过以下目录:'C:\\programData'、'C:\\Windows'、'C:\\Usera\\用户名\\AppData\\Local\Temp'、'C:\\Usera\\用户名\\AppData\\Roaming'

图:选择目录

选择网站体育时跳过以下后缀名:‘.0riz0n’、‘.0riz0n_readme’、‘.dll’、‘.exe’

图:选择体育

网站体育时,会网站体育的所有数据,并且体育修改时间保持不变。

在读取体育前首先将体育大小与0xA00000做取模运算,其运算结果作为循环次数,每次循环时判断剩余体育大小是否大于等于0xA00000字节,大于时就读取0xA00000,否则就读取实际大小。

图:网站体育

每个被网站体育下会生成一个千亿信息体育,体育名和被网站体育一直,后缀名为:‘.0riz0n_readme’,每个千亿体育信息包含三个部分:

第1部分:千亿信基本信息

第2部分:TAIL:体育数据被AES网站后的padding数值,然后转换成Base64编码

第3部分:KEY:被网站密钥——AES密钥被RSA公钥网站,然后转换成Base64编码

图:千亿信息

2.7、网站算法分析

体育网站采用AES—256算法网站体育,网站密钥通过RSA公钥网站,RSA公钥采用RC4算法网站,大小为0x39C个字节存放在.rdata数据段,RC4密钥以逆序方式存放在被网站数据头部,大小为40个字节。

图:RC4密钥和网站的RSA公钥

RC4算法千亿:

图:RC4算法千亿

千亿后的RSA公钥:

图:RSA公钥

使用API函数 CryptAcquireContextW 创建密钥容器:

图:创建RSA_AES密钥容器

导入RSA公钥:

图:导入RSA公钥

使用API函数 CryptGenKey 生成密钥,从参数可以看出,密钥算法为:AES_256:

图:生成AES密钥

导出AES_256密钥时,使用RSA公钥网站密钥:

图:导出密钥

使用API函数 CryptEncrypt 网站体育:

图:网站体育

3.千亿思路

在有RSA私钥的情况下,可以按照以下顺序来千亿体育:

第1步:读取要千亿体育的‘..0riz0n_readme’的后缀名体育,获取被网站密钥和padding数据;

第2步:将获取的AES密钥和padding进行Base64编码转换;

第3步:用RSA私钥千亿AES密钥;

第4步:通过AES_256网站算法千亿体育:

4.1 获取体育大小,首先将体育大小与0xA00000做取模运算

4.2 根据取模结果作为循环次数,每次循环时判断剩余体育

大小与0xA00000,大于0xA00000字节数据时,读取0xA00000字节数据,否则全部读取。

预防措施

  1. 提高上网安全意识, 做好重要数据定期备份
  2. 及更新系统, 修补体育补丁
  3. 不使用弱口令账号密码
  4. 安装杀毒软件计时更新体育库
  5. 安装防千亿软件, 防御未知体育网站体育
编辑:瑞瑞 阅读:
竞技宝导航千亿国际手机官网app国际龙8国际