样本
IOC
MD5:749dfc8bf52422ce77ed59a60c2f395e
SHA1:d0593187a473a19564a67819050023c9144b30c2
SHA256: 5c205cffc83f7be274773fb1c3aa356b29d97e4d62a83e79c5fd52eadc3ed695
概述
语言:C#
文件类型:32位EXE
FormBook 是一种信息窃取恶意软件,于 2016 年首次被发现。它会从受感染的系统中窃取各种类型的数据,包括缓存在 Web 浏览器中的凭据、屏幕截图和按键。它还能够充当下载器,从而下载并执行其他恶意文件。它采用恶意软件即服务 (MaaS) 模式运行,网络犯罪分子可以以相对较低的价格购买恶意软件的访问权限。
初始阶段
第一阶段可以用dnSpy分析,它是一个dotnet文件。
入口点:
在最初阶段,可以看到反编译结果有很多垃圾代码:
注意到这里:
Quartz
Versa
Zinc
这三个是恶意资源,它们在运行时被组合和加载,以便进一步执行。
往下可以发现一处代码,它在运行时解析该程序集并创建资源实例,然后使用 System.Activator 类加载第一个方法。
动态分析
在模块窗口中可以看到已加载的运行时二进制文件,如上图所示。
运行时生成的二进制文件名为 pendulum。代码中显示,恶意软件通过调用 GetExportedTypes 方法,获取并执行导出类型中的第一个成员。
从第一个加载的 DLL(Pendulum)资源开始,进一步解析出了更多的二进制文件。在模块选项卡中,可以跟踪新添加的 DLL 并逐步分析它们的行为。