安全分析与研究

专注于全球恶意软件的分析与研究

原文首发出处：

https://xz.aliyun.com/t/16989

先知社区 作者：熊猫正正

近日，笔者捕获到一例伪装成Chrome安装程序传播恶意软件的最新攻击样本，对该样本进行了详细分析，里面的恶意模块都使用了增肥和无效数字签名等技术，以逃避安全厂商的检测，同时还有一些反虚拟机检测，样本中包含三个ShellCode恶意代码，还利用了一个开源的注入工具，会通过系统中的相关安全产品信息等，使用多种不同的方式注入加载执行ShellCode代码，分享出来供大家参考学习。

1.初始样本伪装成Chrome的MSI安装程序，相关信息，如下所示：

2.解析MSI安装程序，如下所示：

3.CustomAction安装脚本，调用恶意模块的导出函数exitzi，如下所示：

4.MSI解压缩之后，包含恶意模块，如下所示：

5.恶意模块带有无效数字签名，数字签名信息，如下所示：

6.恶意模块使用了“增肥”技术，大小为二百多M，在DATA段中加入了大量的垃圾数据，如下所示：

7.恶意模块的导出函数exitzi，如下所示：

8.在指定的目录生成压缩包文件，如下所示：

9.生成的压缩包，如下所示：

10.通过遍历进程等信息反虚拟机操作，然后通过密码解压缩文件，如下所示：

11.解压缩之后，如下所示：

12.里面包含的恶意模块同样使用了相关的无效数字签名和增肥技术，模块大小为四百多M，相关信息，如下所示：

13.同样使用白+黑的技术，加载恶意模块，如下所示：

14.判断主程序调用参数，如下所示：

15.如果参数不对，则启动主程序并调用参数，如下所示：

16.判断是否存在hh.exe进程，如下所示：

17.如果不存在，则启动hh.exe进程，然后读取view.png图片的内容，然后将shellcode注入到hh.exe进程当中，如下所示：

18.注入ShellCode代码到进程当中，如下所示：

19.ShellCode代码，如下所示：

20.判断C:\users\public\downloads\目录下是否存在aut.txt文件，读取aut.png图片文件中的ShellCode代码，并执行，如下所示：

21.读取PNG图像ShellCode代码，如下所示：

22.ShellCode代码，如下所示：

23.下面来重点分析两个PNG图像中包含的ShellCode代码，先看view.png中的ShellCode代码，分配相应的内存空间，如下所示：

24.拷贝ShellCode中的加密数据到内存当中，如下所示：

25.解密加密的数据，如下所示：

26.解密数据之后，如下所示：

27.PayLoad的编译时间为2024年12月13号，如下所示：

28.解密出来PayLoad的应该也是银狐黑产的一个变种样本，相关的C2域名信息，如下所示：

29.解析C2配置信息，与此前银狐样本类似，如下所示：

30.通过分析aut.png图像中ShellCode代码功能与上面view.png图像中ShellCode代码功能一致，但解密出来的PayLoad不一样，通过分析该PayLoad引用了一个注入工具的代码，并会将ShellCode代码注入到explore.exe进程当中，如下所示：

31.代码中包含的PDB信息，如下所示：

32.注入进程过程，如下所示：

33.注入到explorer.exe进程之后，如下所示：

34.注入的ShellCode代码与上面的两个ShellCode代码的逻辑一致，分配相应的内存空间，然后将加密的数据拷贝到内存空间当中，如下所示：

35.解密ShellCode代码后面的数据，如下所示：

36.最后解密出PayLoad，如下所示：

37.最终解密出来的PayLoad，查询相关注册表项，设置快捷方式等，如下所示：

38.设置自启动注册表项，如下所示：