最新消息:

Emotet银行木马宏样本分析

Windows demon 3625浏览 0评论

一、简介

Emotet银行木马首次发现是在2014年6月份,此银行木马主要通过垃圾邮件的方式进行传播感染目标用户,是一款比较著名且复杂的银行木马。

 

 

二、样本运行流程

三、分析

邮件附件DOC样本(重命名为2021-1-13-Emotet.doc),如下所示:

打开文档之后,如下:

3.1宏代码分析

使用oletools 套件的olevba,查看里面包含宏代码,如下:

3.2动态调试

从上面中我们隐约可以看到调用了WMI和一堆混淆。

我们这里直接去该文档的VBA编辑器,动态的调试,看到到底发生了什么。

此处我们可以看到由Document_open()函数调用Bn2p1rxokklh_9o8

此处一共有3处函数,其中Bn2p1rxokklh_9o8()、Ipls8rqp952u2lk1(V8_prqa_b590f6uz6z)、Cws3jiyt47ovpsrhug(Mhb7dz_hsybhf0ic7)

现在 这里我们直接在函数Ipls8rqp952u2lk1中的结束处进行下断点。让我们运行下看看

 

我们这里注意V8_prqa_b590f6uz6z 和Ipls8rqp952u2lk1这两个变量

 

 

在这里我们可以看到V8_prqa_b590f6uz6z变量为混淆的内容,而 Ipls8rqp952u2lk1最终的解密后的值为winmgmts:win32_process,这里混淆的key为最后一处函数 Cws3jiyt47ovpsrhug(Mhb7dz_hsybhf0ic7),其中的 Replace引起了我们的注意,而w]xm[v就是我们的key

就像这样,如下图所示

当执行到最后,我们也可以看到完整的执行代码

而完整的混淆代码为如下图所示

 

使用key对其进行替换,如下图所示

最终得出来的代码为如下图所示。

下面为执行的过程。调用cmd 进行弹窗和调用powershell

 

 

 

3.3 PowerShell 分析

我们对其powershell中的base64进行解密。得出的代码如下图所示

 

我们可以看到powershell 也是进过混淆的,其中字符串的混淆为打乱排序,经过下图的类似的处理后

代码整理如下图所示

 

 

大体该脚本执行的流程为

1.创建目录为下面下载的文件提供路径。

2.下载DLL文件并命名为S93E.dll

3.调用rundll32执行DLL。

3.4DLL执行

在上述过程中我对其中几个url分别进行验证。只有两个网址是可以下载DLL的

两个DLL的md5是不同的,但是其功能是相同的,下图为完整的执行过程。

 

在这里调用rundll32 执行dll文件使用期函数showdialogA。对其释放和执行另一个dll文件,最后进行自我删除第一个DLL的动作

 

并对其进行注册表修改,添加启动项,为其进行后期的控制。

 

同时我们可以看到 该DLL对外进行通信

 

 

四、IOC

文件名:"QD0948945078TQ.doc"
sha256:	27e5abb8149408da077133529e8da246c1003edc20974635d6757e05798d78c5	
sha1:	3a7a405ef3df95c1cfa18284749ff885a6430a88	
md5:	2b310974bb4a113881471845a109b3de	

DLL文件
  md5	C:\Users\admin\Kjl48kr\Nqm9ty9\S93E.dll	0a3a2efb412b08e886f9856a5093c6e4
    md5	C:\Users\admin\Kjl48kr\Nqm9ty9\S93E.dll	617231616b57a1a09e14cf068d9c8a21	

DNS requests
    www.starlingtechs.com

Connections
  ip	71.72.196.159


HTTP/HTTPS 请求
  url	https://www.starlingtechs.com/GNM/	
  url	http://71.72.196.159/3xjgiyzod/r2dsukigxsy2d/4r9mzyqmmbgte85/nemcrg565qsoiqnnoa/fgpz1c4ee1mmcc/4wuwc0y5xm79x/

 

参考链接:

https://www.virustotal.com/gui/file/27e5abb8149408da077133529e8da246c1003edc20974635d6757e05798d78c5/behavior

https://app.any.run/tasks/beef10b6-bc74-4f38-adf4-b9a3e83082b3/

https://www.cynet.com/attack-techniques-hands-on/powershell-obfuscation-demystified-series-chapter-2-concatenation-and-base64-encoding/

转载请注明:即刻安全 » Emotet银行木马宏样本分析

您必须 登录 才能发表评论!



合作伙伴