恶意 HTML 文件 (QBot) 分析
2022-10-18 10:18:46 Author: Ots安全(查看原文) 阅读量:16 收藏

读者 Eric 提交了一个恶意 HTML 页面,其中包含带有恶意软件的 BASE64 图像。

让我们来看看。使用我的工具base64dump.py我在 HTML 代码中搜索长 BASE64 字符串:

看起来确实有2张图片。一个 GIF 和一个 SVG 文件。

让我们仔细看看:

GIF 文件具有非常高的熵,并且没有长字符串。而 SVG 文件包含 BASE64 数字的字节序列,长度为 596938 字节。

所以很可能在 SVG 文件中隐藏了一些东西。

让我们尝试第二级 base64 解码:

PK:那可能是一个 ZIP 文件。让我们试试zipdump.py:

它确实是一个 ZIP 文件,但它受密码保护。让我们 grep 获取 HTML 文件中的密码:

看起来 abc333 是密码。我们试试看:

ZIP 文件包含一个 ISO 文件。

让我们看一下isodump.py:

isodump.py 只看到一个文本文件。恶意文档(现在很明显这是恶意的)仅包含一个文本文件,这是非常不可能的。发生了什么,是有一个二级卷描述符,但 isodump 使用的 pathlab 模块无法识别二级卷。

由于我现在希望该 ISO 文件中有一个 Windows 可执行文件,因此我使用pecheck.py来创建 PE 文件:

事实上,我们有一个 32 位的 DLL,原来是QBot。

QBot沙箱检测报告:https://www.virustotal.com/gui/file/8bf00c146ff533fa193c448d5ccdeb0ba5f56764d290b3de0f55f1b40acf810a

7-zip 实用程序可以帮助我们查看 ISO 文件,但它不接受 ISO 文件作为通过标准输入的输入。

所以我首先必须将文件写入磁盘,然后让 7-zip 对其进行分析:

tools - 工具

base64dump.py

https://blog.didierstevens.com/2022/07/19/update-base64dump-py-version-0-0-23/

zipdump.py

https://blog.didierstevens.com/2022/05/13/update-zipdump-py-version-0-0-22/

isodump

https://github.com/DidierStevens/Beta/blob/master/isodump.py

pecheck.py

https://blog.didierstevens.com/2022/05/26/update-pecheck-py-version-0-7-15/


文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjYyMzkwOA==&mid=2247495858&idx=2&sn=f7a1fd2f4d25ab1cc5351ad7b0905ddf&chksm=9badb9f9acda30ef365a0987274ec650386d49d76f0976a80bb0104a9ef2ef57e70a3b052d44#rd
如有侵权请联系:admin#unsafe.sh