事件概述
本次山石情报中心通过智源平台大数据捕获到了疑似与上海某高校安全事件相关的病毒样本,该样本基于.Net平台进行编写,使用多重loader以及多种检测手法规避安全检测。
详细分析
该程序的核心代码将会以反射加载的方式被调用,其中对于核心代码模块的数据,程序使用了异或算法进行加密,加密伪代码如下:
解密之后可以看到核心代码模块使用SmartAssembly对代码进行的混淆。
核心模组中再次加载模块,获取“EkNMG”资源。
该资源块同样为加密数据,使用aes算法加密
IV:1C771ADB1A081DC00E7587D890053D03
KEY:98A7367C6260014E88CA40EBE48E4D5BA713E7F53996FF3DB7AFC9671A19B863
将后续需要使用的数据写入应用程序域属性“jnlCmbqMDCWe”,以供后续执行
规避检测
对进程名称进行检测,排除部分.Net脱壳的软件。
释放所有网络适配器的连接,使目标设备网络中断。
创建互斥量“Ycztsixdmyy”
检测到程序存在调试行为,则通过cmd重新启动进程,并退出当前进程。
检测当前路径是否在“C:windows”
检测程序执行权限是否为管理员。
将自身路径和进程名列入windows defender的排除项,规避windows defender的查杀。
检测到存在异常环境时,通过cmd重新运行程序文件,并退出当前进程。
执行功能
使用模块protobuf-net对数据进行序列化。
获取%TEMP%目录下的临时路径,向该路径写入数据并进行调用。
将自身进程句柄复制到explorer,以达到占用进程文件的效果。
在规避检测的行为完成后,刷新网络适配器连接。
检测环境语言是否存在列表中,如果存在,则退出程序,
对设备进行截屏,并进行保存
发送设备信息、截图等数据到远端服务器
持久化
通过三种方式:
- Startup启动文件夹
- 注册表项
- "SoftwareMicrosoftWindowsCurrentVersionRun"
使用以下指令创建计划任务
IOC
MD5:
323ac3a13a3ab29af25d81be4736727fCC:
89.208.107.12
kizivarain.com参考链接:https://mp.weixin.qq.com/s/d1hfh4YKXzQOh6WpwQMBLw
图片来源网络目标可联系删除
