【安全】记录钓鱼邮件中木马病毒的分析溯源

​

转载请注明出处：小锋学长生活大爆炸[xfxuezhagn.cn] 如果本文帮助到了你，欢迎[点赞、收藏、关注]哦~

1、收到一封邮件，与以往钓鱼网站形式不同，这次是给了一个exe可执行文件。毫无疑问，肯定是植入木马用的。

下载后，可以发现不法分子特地用了excel的图表。别说，由于Windows默认是隐藏后缀名的(即exe)，所以初看，小白真的会以为是个excel哦！

2、VMware开个虚拟机，试试看允许有什么效果。注意千万别在你的真实系统上运行这个病毒，因为根本不知道他植入了什么东西，很难排查的。

实测效果是，双击完看不到任何反应。这也是正常的，实际上他已经偷偷创建完脚本了。

3、先用扫毒工具简单扫一下。

VirScan - 多引擎文件在线检测平台

可以发现，确实有一堆的病毒特征。

• Win32:Agent-BCVQ：这是一个被杀毒软件检测到的恶意程序的名称，属于Win32平台下的Agent系列病毒，可能会执行恶意操作，如下载其他恶意软件、窃取信息等。
• Win32/Farfli.CMI trojan：这是一个特洛伊木马病毒，可能通过伪装成合法程序来感染计算机，进而执行恶意活动，如窃取用户数据、远程控制受感染的计算机等。
• Backdoor.Agent!1.9E1E (CLASSIC)：这是一个后门程序，属于Agent系列，攻击者可能利用它在受感染的计算机上执行远程命令，进行数据窃取或其他恶意活动。
• Generic.ShellCode.RDI.Marte.4.D99E8D57：这是一个通用的壳代码检测名称，可能与某些恶意软件的执行代码有关，用于执行特定的恶意操作。
• Win32.Trojan.Agentb.bxom.(kcloud)：这是一个特洛伊木马病毒，属于Agentb系列，可能会在受感染的计算机上执行恶意行为，如下载其他恶意软件、窃取用户信息等。
• Trj/Chgt.AD：这是一个被检测到的恶意程序，可能属于木马或蠕虫类，会通过网络传播或感染其他文件，对计算机系统造成危害。
• BDS/Zegost.klzeimd：这是一个被检测到的恶意软件，可能具有破坏系统、窃取信息等功能，对计算机的安全构成威胁。
• Trojan-Dropper.Win32.Injector：这是一个特洛伊木马 Dropper，可能会将其他恶意软件注入到计算机中，从而执行更多的恶意活动。

4、使用云沙箱工具详细分析一下它的行为。

个人比较喜欢用这个工具，免费无广告且非常详细：https://s.threatbook.com/

可以看到这个钓鱼软件执行的一系列操作。

详细报告大家可以访问：木马病毒的分析报告

其中，比较有意思的是这两个：

• 他在C:\Users\Administrator\AppData\Local\Temp\RarSFX0目录下创建了可执行文件，通常就是用于入侵用的。
• 然后有一个IP通信，通常是向攻击者上报这台机器的信息，那么攻击者拿到信息就可以随时发起入侵了。

这个病毒的执行流程如下：

而这个IP的云商是腾讯云：

反手一个举报，不知道腾讯云管不管：

更新：处理结果只是警告了一下对方。。。

5、扫描一下这个IP，看看有哪些端口开了。(大家不要去攻击这个ip哦[狗头])

Penetration testing toolkit, ready to use - Pentest-Tools.com

可以推断出，他的操作系统是Windows Server，而且远程桌面3389端口是开着的。

6、反编译edu.exe看一下他做了什么。

Decompiler Explorer

有点长，不看了，Kimi解析后认为这段代码实现了一个简单的Windows应用程序，主要功能包括：

• 设置和清除桌面监控相关的操作（wWinMain）。
• 设置未处理异常的过滤器（sub_40131A）。
• 更新全局变量的值（sub_402288 等）。
• 遍历并调用函数指针数组中的函数（sub_402371 和 sub_402391）。
• 控制线程的暂停时间（sub_4027B6）。

而且有意思的是，这个edu.exe用的是酷狗的签名：

7、反编译dll看一下公开了哪些接口。

这里的SetDesktopMonitorHook应该就是监控桌面的意思。

8、反编译dll看一下他的代码。

Decompiler Explorer

问了一下Kimi，他说的是：

这段代码是一个dll文件的入口点函数以及相关的辅助函数实现。以下是代码的解析： 主要功能概述 1. **DLL入口点函数**：`dllmain_dispatch`和`dllmain_raw`是dll文件的入口点函数，用于处理dll的加载、卸载等事件。 2. **安全机制**：包含安全cookie的初始化和检查，用于防止缓冲区溢出等安全问题。 3. **异常处理**：实现了异常处理机制，包括异常过滤、安全失败报告等。 4. **内存管理**：通过`VirtualAlloc`函数分配内存，并将文件内容读取到分配的内存中。 5. **进程和线程管理**：处理进程和线程的初始化、清理以及相关的锁机制。 代码结构解析 - **入口点函数**： - `dllmain_dispatch`：根据不同的事件类型调用相应的处理函数，如`dllmain_crt_process_attach`和`dllmain_crt_process_detach`。 - `dllmain_raw`：处理dll的加载事件，返回1表示成功。 - **安全机制**： - `___security_init_cookie`：初始化安全cookie，用于防止缓冲区溢出。 - `CookieCheckFunction`：检查安全cookie是否被破坏，若被破坏则调用`___report_gsfailure`报告安全失败。 - `___report_gsfailure`：处理安全失败，终止进程。 - **异常处理**： - `__except_handler4`：异常处理函数，用于处理dll中的异常。 - `___scrt_dllmain_exception_filter`：过滤dllmain中的异常。 - **内存管理**： - `SetDesktopMonitorHook`：通过`CreateFileW`打开文件，使用`VirtualAlloc`分配内存，并将文件内容读取到分配的内存中。 - `ClearDesktopMonitorHook`：清除桌面监控钩子，但目前未实现具体功能。 - **进程和线程管理**： - `dllmain_crt_process_attach`：处理进程的初始化，包括初始化CRT、获取启动锁、初始化异常处理等。 - `dllmain_crt_process_detach`：处理进程的清理，包括释放资源、清理异常处理等。 - `___scrt_acquire_startup_lock`和`___scrt_release_startup_lock`：获取和释放启动锁，确保线程安全。 代码中的关键点 1. **安全机制的实现**：通过安全cookie和异常处理机制，增强了dll的安全性，防止常见的安全漏洞。 2. **内存分配与文件操作**：在`SetDesktopMonitorHook`中，通过文件操作和内存分配实现对桌面监控相关数据的加载。 3. **进程和线程的初始化与清理**：在dll的加载和卸载过程中，对进程和线程进行初始化和清理，确保资源的正确管理。 总结 这段代码实现了一个dll文件的入口点函数及相关功能，重点在于安全机制的实现、异常处理、内存管理和进程线程的管理。通过这些功能，确保dll在加载和运行过程中的安全性和稳定性。 SetDesktopMonitorHook

• 作用：设置桌面监控钩子，用于监控桌面相关的操作或数据。
• 实现功能：
  • 打开文件：通过CreateFileW函数以只读方式打开名为"huc.bin"的文件。
  • 获取文件大小：使用GetFileSize函数获取打开文件的大小。
  • 分配内存：调用VirtualAlloc函数分配一块内存，大小为文件大小，分配类型为MEM_COMMIT，保护属性为PAGE_EXECUTE_READWRITE，即内存可读、可写、可执行。
  • 读取文件内容到内存：通过ReadFile函数将文件内容读取到分配的内存中。
  • 关闭文件句柄：调用CloseHandle函数关闭文件句柄。
  • 返回分配的内存地址：将分配的内存地址作为结果返回，可能用于后续的处理或操作。

他被edu.exe调用。用dll的好处是可以动态下载新的dll。

9、huc.bin是一个二进制文件，可以查看他的内容，不过不太直观。

文件格式识别 - 百川在线工具箱

HexEd.it - Browser-based Online and Offline Hex Editing

其实用记事本也可以打开：

从内容上看，猜测它还会检测电脑上有没有安装杀毒软件。其实这个bin文件包含了蛮多代码的。

10、最后，解决方法就是删除这几个文件：

最主要还是装个杀毒软件吧，连Windows自带的杀毒软件都能拦截这个木马病毒。