Lab12-04恶意样本分析--更新下载器分析

最新推荐文章于 2024-04-14 11:49:39 发布
原创 最新推荐文章于 2024-04-14 11:49:39 发布 · 469 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细分析了一个恶意样本,它作为更新下载器,运行后自动启动浏览器并创建特定进程。通过IDA工具,深入研究其利用API枚举进程、查找目标,提升权限并复制执行文件到临时目录。样本还会从网络下载额外文件并执行,疑似用于更新相关模块。但由于网络不可达,未能进一步下载。

恶意样本分析–更新下载器分析

这个样本是一个更新模块,运行程序后会自动下载相关的模块并且自动运行。

现象

程序运行后,启动了浏览器,同时看到创建了一个名为wupdmgr.exe的进程

在这里插入图片描述

由于我的环境设置了过了,网络没有打开,之后进程wudpmgr.exe会自动退出

分析

分析母体

使用ida打开样本后,首先获取EnumProcessModules,GetModuleBaseNameA,EnumProcess三个APIs的函数指针

在这里插入图片描述
接着调用EnumProcess函数枚举进程并调用sub_401000查找目标进程

在这里插入图片描述
在这里插入图片描述
进入到sub_401000函数分析后知道,主要是通过EnumProcessModules获取所有加载的模块,然后通过GetModuelBaseNameA获取模块名称和winlogon.exe进行对比

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

判断结果相等,程序会跳过外层的循环判断,进入到sub_401174的调用

在这里插入图片描述

进入到sub_401174的调用后,程序会提升程序的权限

在这里插入图片描述

修改权限完成后,开启一个线程将SeDebugPrivilege设置给线程执行

SeDebugPrivilege具体参考(https://medium.com/palantir/windows-privilege-abuse-auditing-detection-and-defense-3078a403d74e)

接着将C:\Windows\system32\wupdmgr.exe复制到%tmp%\winup.exe

在这里插入图片描述
在这里插入图片描述
复制到tmp目录下的winup.exe文件

在这里插入图片描述

复制完成后,接着将资源文件内的数据写入到wudpmgr.exe

在这里插入图片描述

在这里插入图片描述

提取这个文件保存为payload.exe

继续往下分析,此时运行中的内存数据

在这里插入图片描述

复制成功后调用WinExeC函数启动这个程序,因此看到的进程名为wudpmgr.exe

在这里插入图片描述

分析payload

程序启动payload.exe后,程序会将%tmp%\winup.exe启动

在这里插入图片描述

之后会从网络http://www.practicalmalwareanalysis.com/updater.exe下载update.exe到本地的wupdmgr.exe

在这里插入图片描述

最后会启动这个程序

在这里插入图片描述

尝试从这个站点下载程序,发现已经不存在了,到这就分析完了。

在这里插入图片描述

总结

程序在运行后会将winupdmgr.exe复制到%tmp%\winup.exe之后会复制资源文件内的pe文件到winupdmgr.exe下,之后创建进程执行这个程序,程序会从指定的网络下载一个update.exe程序,猜测这个程序应该是一个更新器,负责更新相关的模块。

恶意样本分析手册
不忘初心,护天下安全!
10-14 1335
图解恶意样本分析的常用方法,你与安全专家的差距只有一篇文章!
恶意样本下载
catgray的博客
08-28 3696
import requests import json #GET /file/81b69bf08aa50ff8896c11bb289f3656ac1df8ba3bba7a5444fa1ef97c9d14b5.7z HTTP/1.1 headers = { "Host": "www.virusign.com", "Connection": "keep-alive", "Cache-Control":...
恶意样本分析-Lab16-01 反调试1分析
LoopherBear的博客
05-25 657
恶意样本分析-Lab16-01 反调试1分析 这个样本是随书《恶意代码分析实战》第十六章的样本,主要用来熟悉反调试的一些手段,这个算是样本分析中需要掌握的基础知识。这篇笔记会包含了静态分析和静态分析。基本要求 在分析这个样本之前可以先看一下恶意样本分析–16Windows中一些常用的反调试记录 静态分析 静态分析就不做PE信息的分析,直接走IDA分析,这个过程尽量不走伪代码分析分析汇编指令,便于在x64dbg上分析时快速定位。 由于已经在第九章分析了,因此这里关注到反调试手段。首先来到入口处看到关键指令
一个恶意样本分析
信息安全
08-09 4699
1.1样本信息1.样本概况 病毒名称:bea213f1c932455aee8ff6fde346b1d1960d57ff MD5: 6E4B0A001C493F0FCF8C5E9020958F38 SHA1: BEA213F1C932455AEE8FF6FDE346B1D1960D57FF CRC32: 1CD8074D 1.2测试环境及工具 2.1.1 测试环境 Windows ...
恶意样本分析报告
4SecNet团队专栏
03-20 852
分析报告 样本信息 文件大小 MD5 文件名称 72.07KB 44BCF2DD262F12222ADEAB6F59B2975B ab.exe 样本功能分析: 通过shellcode编写进行免杀,实现干扰分析人员进度: 通过多重跳转实现类似垃圾指令的功能,干扰分析人员,获取当前文件执行镜像名称与硬编码的数据进行对比,也是一种防止分析的手段(校验运行的进程名与预设的进程名是否相同) 对文件名称进行校验: 根据算法比较获取目标DLL文件 DLL算法(有可能是UNICODE,也有可能是AN
学习笔记-第十二章 恶意代码分析实战
Yes_butter的博客
03-24 1650
12章 隐蔽的恶意代码启动 1.启动器 启动器是一种设置自身或其他恶意代码片段以达到即使或将来秘密运行的恶意代码。 启动器的目的是安装一些东西,以使恶意行为对用户隐蔽。 启动器经常包含它要加载的恶意代码。最常见的情况是在它的资源节中包含一个可执行文件或者dll。 正常情况下,Windows pe文件格式中的资源节是供可执行程序使用的,但并不应该是可执行程序的 组成代码。正常资源节的内容...
恶意软件分析实战23-64位软件逆向Lab21-2
輚至消亡
10-04 667
这里尝试分析逆向的这个软件本身是X86的,但是按照题目的描述,其内部带有X64的模块,不管如何首先拖入VT内让它经受一轮杀毒引擎的洗礼, 结果很炫酷, 54个引擎报毒 资源节内包含3个二进制文件,体量很大: 查看一下导入函数: 注入行为可能是注入了explorer.exe进程,因为这个进程经常是被注入的目标 用Resource Hacker打开这个软件,把3个儿子提取出来: 我是按照Resource hacker里面的名字来决定后缀的,但是,具体是什么后缀还需要进一步...
学习笔记-第十四章 恶意代码分析实战
Yes_butter的博客
03-26 1714
第十四章 恶意代码的网络特征 1.网络应对措施。 网络行为的基本属性包括IP地址,TCP端口,以及流量内容等,网络和安全 设备可以利用它们,来提供网络应对措施。根据IP地址和端口,防火墙和路由器可以限制对 网络的访问。 入侵检测系统,入侵防御系统,以及电子邮件和web代理等其他安全应用。 作为常用术语的 入侵检测系统已经过时了。特征不再仅仅用在入侵检测方面,还可以用来检测网络扫描,服 务枚举与分...
学习笔记-第十五章 恶意代码分析实战
Yes_butter的博客
03-28 685
第15章 对抗反汇编 所谓对抗反汇编技术,就是程序中使用一些特殊构造的代码或数据,让反汇编分析工具产生不正确的程序代码列表。这种技术由恶意代码编写者手工构造,在恶意代码编译和部署阶段使用一个单独的混淆工具,或是直接在源码中插入混淆代码。 所有恶意代码的设计都有特殊目的:键击记录,后门访问,使用目标系统发送大量电子邮件让服务器瘫痪,等等。 恶意代码编写者会使用对抗反汇编技术来延缓分析人员分析恶意代码...
Lab03-03.exe恶意代码分析
weixin_51758733的博客
05-17 384
Lab03-03.exe恶意代码分析
样本恶意软件样本
02-22
样本恶意软件样本
GO恶意样本实例分析
zhangge3663的博客
01-15 953
最近在工作中遇到不少的go语言编写的恶意样本,也整理了在分析go恶意样本的一些基础知识,各位同学可以先看看这篇文章《GO恶意样本分析》,对go语言的分析基础有一定了解。 在平常的工作中遇到的情况来看,go语言的恶意样本可以分为如下的三个等级以及对应的等级的说明。 非常简单: 未去除符号以及未混淆的恶意软件。 一般简单: 去除符号的恶意软件。 困难:混淆的恶意软件。 我找了几个对应的样本,大家可以一起学习学习。 未去除符号以及未混淆的的恶意软件   WellMesss是疑似具有俄罗斯...
恶意软件样本行为分析
weixin_49816179的博客
12-17 499
本文介绍了恶意样本行为分析方式,包括:1) 熟悉 Process Moniter 的使用;2) 熟悉抓包工具 Wireshark 的使用;3) VMware 的熟悉和使用;4) 灰鸽子木马的行为分析
恶意软件样本行为分析——Process Monitor和Wireshark_process monitor抓包(1)
最新发布
2401_83621541的博客
04-14 914
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
新变种Emotet恶意样本分析
PwnGuo的博客
12-08 1291
样本信息 表1.1 样本信息表 文件 大小 190976 字节 修改时间 2021年12月2日, 10:30:02 MD5 2EFBE18F2ED8AE0D4648B68596DFA00C SHA1 0954D1E4BC63EB075703FB3D40B5CDB06F57E61E CRC32 8969E72E ...
简单的恶意样本行文分析-入门篇
weixin_48421613的博客
06-21 1586
开篇引题,此篇文章为入门入门文章,里面的内容为后续软件安全分析铺垫,有点东西,但是不多,所以大家觉得有用就看一眼,觉得无用就不看哈,别喷;此类应用场景呢,其实就是恶意样本行为分析、在遇到后门、应急响应后将恶意样本拷贝走之后去做一个初步的排查,能发现样本做了些什么,他有哪些功能等等...
利用AI+大数据的方式分析恶意样本(四十三)
至臻求学,胸怀云月
05-03 1860
一篇USENIX 2023关于人类与ML分析malware差别的文章阅读
利用AI+大数据的方式分析恶意样本(二十七)
至臻求学,胸怀云月
07-11 2451
NDSS2021一篇挖矿二进制检测的文章阅读
恶意样本分析实战——SmokeLoader
weixin_51409218的博客
08-29 664
恶意样本分析实战——SmokeLoader
LAB-03-Wireless实验板的无线语音通信分析
根据您提供的信息,本次知识内容将围绕“LAB-03-Wireless”进行详细说明。 ### 知识点一:FG4619-F2013 LAB实验板 #### 1. 实验板简介 FG4619-F2013 LAB实验板是一种用于进行实验和教学目的的硬件平台,它可能包含...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值