formbook 恶意软件浅析

样本
IOC
MD5：749dfc8bf52422ce77ed59a60c2f395e
SHA1：d0593187a473a19564a67819050023c9144b30c2
SHA256： 5c205cffc83f7be274773fb1c3aa356b29d97e4d62a83e79c5fd52eadc3ed695

概述
语言：C#
文件类型：32位EXE

FormBook 是一种信息窃取恶意软件，于 2016 年首次被发现。它会从受感染的系统中窃取各种类型的数据，包括缓存在 Web 浏览器中的凭据、屏幕截图和按键。它还能够充当下载器，从而下载并执行其他恶意文件。它采用恶意软件即服务 (MaaS) 模式运行，网络犯罪分子可以以相对较低的价格购买恶意软件的访问权限。

初始阶段
第一阶段可以用dnSpy分析，它是一个dotnet文件。

入口点：

在最初阶段，可以看到反编译结果有很多垃圾代码：
注意到这里：

Quartz
Versa
Zinc
这三个是恶意资源，它们在运行时被组合和加载，以便进一步执行。

往下可以发现一处代码，它在运行时解析该程序集并创建资源实例，然后使用 System.Activator 类加载第一个方法。

动态分析
在模块窗口中可以看到已加载的运行时二进制文件，如上图所示。

运行时生成的二进制文件名为 pendulum。代码中显示，恶意软件通过调用 GetExportedTypes 方法，获取并执行导出类型中的第一个成员。
从第一个加载的 DLL（Pendulum）资源开始，进一步解析出了更多的二进制文件。在模块选项卡中，可以跟踪新添加的 DLL 并逐步分析它们的行为。