样本是之前在app.any.run首页看到的,看样本名称是针对韩国地区的一个样本,下载了分析一下。通过VT可以看到,样本是在19年12-29上传到VT的,原始样本名称:전산 및 비전산자료 보존 요청서(20191230))요청자료 꼭 준비부탁드립니다.exe
在start函数末尾处通过call [ebp+var_10] 跳转到新开辟的内存执行:VirtualAlloc了一个009B0000开始的空间:循环写入,然后通过VirtualProtect更改属性:最后复制文件,并且通过VirtualFree清空解密的内存:将该内存中的PE文件dump出来并保存为dump.exe。
首先是检索有关本地计算机的当前硬件配置文件的信息。然后通过CreateDirectoryA创建该路径:解密出请求地址:
likeanimals.net/276设置Content-Type:
Content-Type: multipart/form-data; boundary=1BEF0A57BE110FD467A\r\n抓包可以看到
请求数据就是--1BEF0A57BE110FD467A--\r\n如果成功请求,则会在西面的sub_409ac3函数通过InternetReadFile下载文件到本地。通过代码发现,下载的dll一共有:
freebl3.dll
mozglue.dll
msvcp140.dll
nss3.dll
softokn3.dll
vcruntime140.dll最后可以看到,是在本地通过post请求向CC发送了一个压缩包。将数据流提取出来,解压压缩包,可以看到如下的目录结构:很明显,这里是将用户主机上搜索到的数据全部以文件形式存储并打包上传了。通过http://ip-api.com/line/获取本机的出口ip:然后创建information.txt收集本机的一些基本信息:压缩包在上一级目录:
![图片描述]
(upload/attach/202002/757351_U95HNDVEUUQENCF.png)接着在sub_40A171函数处将压缩包上传到CC:这里是一个大的while(1)循环,sleep之后程序还会继续走一遍上面的流程
进程结束的条件在if(v149>=2)里面。因为之前已经分析到了该样本的通信C2:http[:]//likeanimals[.]net/可以看到,上面的地址在样本中都找到了对应的访问位置。考虑到韩文的文件名比较特殊,所以直接尝试在Google搜索韩文文件名:发现ESTsecurity 发布了该文件的概要分析,提到了疑似的组织:ESTsecurity 是韩国本土的安全公司,遇到跟韩国相关的样本,可以尝试在ESTsecurity 的博客或者Twitter上寻找一下相关信息。继续搜索提到的这个韩文组织名:VenusLocker继续Google,可以看到直接会弹出两个关键词,分别是
venus locker ransomware
venus locker north korea经过分析发现,VenusLocker ransomware应该是俄罗斯黑客开发的勒索病毒。VenusLocker组织早期会通过恶意代码投递GandCrab勒索,其攻击目标以韩国、北韩(朝鲜)为主。最后,还可以在Twitter上搜索一些组织或是样本的相关信息:图中的Twitter用户是一名韩国地区的研究员,韩国的确的威胁情报、样本也可以关注他。看雪ID:顾何
https://bbs.pediy.com/user-757351.htm
*本文由看雪论坛 顾何 原创,转载请注明来自看雪社区。
好书推荐
文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458304061&idx=1&sn=dbb2c47495a290b444ee3fe56e8ce24d&chksm=b1818eb786f607a11ffb119378461c7937a1629f6bb5493b4b4d9b378c36d91a767dd356b36c#rd
如有侵权请联系:admin#unsafe.sh