病毒样本分析实例.pdfVIP

病毒样本分析实例 0×01 事件经过 2016年2月26 日，一个网络安全相关的QQ群内，一名用户分享了一份名为 “网络 安全宝典.chm”的电子书供大家下载 ，网络安全工程师Bfish自然地下载了这本电子书， 打算简单翻阅后决定是否收藏。当Bfish打开这个才12K大小的电子书时 ，感知到了计 算机的异常行为，这让他意识到：这本电子书有问题。 在解开这份CHM文档后，网络安全工程师在一个html页面中找到了原因：这个电子 书中的某个HTML页面内 ，嵌入了一段恶意代码 ，它可以下载一个PowerShell脚本并 执行。顺藤摸瓜，Bfish最终确认了这是一个针对特定人群，以盗取用户帐号密码、文 档资料为目的恶意攻击事件。这段CHM恶意代码如同幽灵一样被执行并作恶 ，故将此 称之为幽灵电子书（ChmGhost）。 0×02 主要危害 通过电子书散播 ，攻击受众有很强的群体性 ，对特定人群发起攻击简直易如反掌 ，而且 电子书 “诱饵”更容易迷惑大众。 目前看到的攻击代码，主要的危害为窃取用户隐私：Windows账户信息 和密码、各类应用程序的密码、计算机基本信息、屏幕截图、网络配置 和Wi-Fi信息、各类文档，造成用户敏感信息和资料泄漏。这些资料的 泄漏伴随着商业机密泄漏的风险，后续或造成更大的损失。 另外 ，攻击时所用的恶意代码 ，无论是二进制还是脚本 ，几乎都来自网络下载 ，攻击可 以随时开启和关闭 ，攻击手法、攻击目的也都可以变化 ，这个 “后门”的潜在危害也相 当之大。 2月26 日发现的CHM的标题是网络安全相关的，并且在网络安全相关的QQ群内散 播 ，表明攻击者的目标是网络安全从业和对网络安全感兴趣的、有一定计算机安全基础 的群体 ，但就算如此 ，仅一天时间就已经有多名受害者 ，如果攻击者转到其他领域 ，受 众群体应该会更没有感知能力，危害也将更大。 0×03 攻击实施纵览 0×04 详细技术分析 首先，CHM中使用了一种古老的方法 — 利用Internet.HHCtrl对象来运行任意命令 行。doc1.html中定义了一个Internet.HHCtrl对象，再通过后续脚本触发其Click事 件，调用Internet.HHCtrl.Item2定义的命令行。 完整命令行如下： 命令行以隐藏方式启动PowerShell，并执行下载攻击者托管于Github上的攻击脚本 ——start.ps1。 start.ps1首先向65发起一个 HTTP请求，下载的内容为一段PowerShel l脚本字符串，通过Invoke-Expression直接调用，脚本内容如下： 根据脚本中指明的方法，对其中的BASE64编码串进行解码、解压缩，又获得一段 Po werShell脚本，内容如下： 按照脚本中指明的方法对BASE64串解码，获得一段二进制数据 ，为32位x86指令的 shellcode。脚本在解码这段shellcode后，将其拷贝到通过VirtualAlloc分配的一块 RWX（Protect为0×40）的内存中，并通过CreateThread创建一个线程来执行，如 下： 这段shellcode并没有经过任何加密处理，功能也非常简单：连接到指定的IP地址， 获取一段新的shellcode ，再次执行。虽然简单 ，但是这中动态执行来自网络代码的功 能 ，危害却是相当之大 ，因为攻击者随时可以下发新的代码，完成新的攻击 ，并且没有 痕迹可循。 主流程如下表所示： 接下来是 Mimikatz 2.0的实现部分，这部分代码占据了整个start.ps1文件的绝大多 数内容。Mimikatz是一个抓取本机登录账户密码的神器 ，更多信息可以从项目主页ht tps:///gentilkiwi/mimikatz了解。 接着便是调用 Mimikatz 的 Dumpcreds 来获取当前登陆用户的密码，如图所示： 完成后生成的DumpPass.txt中的内容如下，截图来自真实受害者的数据： 接着，收集当前用户桌面上的几类文档，根据扩展名判断，扩展名分别为：txt ，doc ， docx ，xls ，xlsx ，早期版本中还有sql。非常明显 ，攻击者收集目标是重要的文档资料 ， 这对受害者可能造成很大的损失。从2月26号抓取的上报邮箱中的资料来看 ，扩展名 还不限于此（攻击者持续更新代码中）。 接着，下载并执行一个名为GetPass.ps1的PS脚本，如下图所示： 顾名思义 ，该脚本的目的 ，依然是收集密码。脚本执行后 ，下载两个文件