Morto蠕虫病毒分析报告

mac2024-11-06  12

文章目录

样本信息病毒现场复现分析过程Loader部分Payload部分 病毒查杀

样本信息

名称:cache.txt SHA1:a5f83e3baae0df2cdcf5b7e9e862705aeb2caedb

病毒现场复现

因为得到的样本没有病毒母体,所以只能手动复现病毒现场,手动复现病毒现场需要两个文件,一个是伪装成txt的病毒dll文件,另一个是写入注册表的payload

首先将md.reg导入进注册表,再将病毒dll加载起来,打开火绒剑监控,可以看到如下行为

可见,病毒将自身加到了服务中,用服务进行自启动。

后续病毒过程会在详细分析中体现。

重启电脑后(记得一定要断网),再继续监控行为

可以看到病毒利用svchost不断的进行DNS请求和RDP爆破

分析过程

分析过程主要分为两个部分,一个是cache.txt文件用作loader的部分,另一个是真正在解密到内存中执行恶意代码的payload部分。

Loader部分

用IDA打开cache.txt文件,一共才十几个函数,看起来很简单,但是里面找函数和地址的方法还是很值的学习的

利用PEB结构查找kernel32的基址

根据传入的不同参数,查找kernel32.dll中不同函数的地址

get_func_addr_add_2函数中利用PE结构几个偏移查找函数地址

传入Advapi32,使用得到的LoadLibraryA地址进行调用继续获取其他函数地址

获取当前运行程序的绝对路径,然后进入judge_current_process_name函数进行比较

judge_current_process_name函数

使用od动态调试很明显的看到这一块是为了判断是否是rundll32.exe启动dll,判断不是rundll32.exe启动的dll后函数会直接返回。

如果是由rundll.exe启动,继续进行下面的操作

传入user32,获取Sleep和ExitWindowsEx的地址

拼接字符串\tsclient\a\moto,这应该是病毒母体释放的文件,但是我们是构建的病毒现场,所以不存在这个文件,打开文件会失败,会执行地址为10001827的跳转。

找不到文件就会Sleep一会,然后退出

如果不是由rundll.exe启动,函数会跳转回返回

根据前面填充出的字符串%SystemRoot%\system32\write.exe.%SystemRoot%\winhlp32.exe

使用ExpandEnvironmentStringsA函数获取完整路径,来判断系统中是否存在write.exe或winhlp32.exe文件,应该是检测运行环境是否为沙箱

打开注册表HKEY_LOCAL_MACHINE\SYSTEM\WPA,获取md键值

md的键值,是一大串十六进制数据。

decrypt_data_and_load_shellcode函数中,又包含了三个函数

在alloc_memory_and_decrypt_data函数中,将从注册表中获取的键值每个十六进制数据自减1,然后开辟内存空间,继续解密数据,将解密数据存放到申请的内存空间中

在get_some_dll_func_addr_and_save_alloc_memory函数中,会获取mfc42.dll中的一些函数,并将获取到的函数地址保存在申请的内存中

获取的函数地址在后面的使用

在find_shellcode_entry_point_and_call函数中,找到解密后的shellcode的初始化位置进行调用,这里调用的应该是一些初始化的操作,没发现一些关键操作

调用后,回到dllmain函数中,calc_shellcode_addr函数是计算再次进入解密shellcode的地址

地址10001710是调用开始执行恶意操作的函数

到此为止,loader部分分析完毕

Payload部分

进入payload部分,首先判断当前运行的进程是否是svchost去执行不同操作。

当进程非svchost时

会执行三个函数,然后进行退出

首先删除注册表键值为了清除历史运行记录

将system32目录下的wmi.dll文件复制到temp目录下并重命名为ntshrui.dll

获取svchost键值

创建名称为的服务

创建服务后注册表键值,利用svchost中的netsvcs服务组启动病毒dll

创建注册表项HKEY_LOCAL_MACHINE\SYSTEM\WPA\sn

设置注册表键值来注册服务

在temp目录下创建文件

最后从注册表读取键值比较是否设置正确

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-2NqjWB5q-1572531034622)(D:\项目\病毒分析\Morto蠕虫病毒分析报告\pic\从注册表读取键值比较是否设置正确.png)]

当进程为svchost时

首先会创建一个线程

关键的一个大循环

查询安全软件

dns请求

遍历注册表项HELM\CurrentControlSet\Control\Sessin Manager\PendingFileRenameOperations,比较键值

注册表键值比较不上的话,在后续会设置键值\??\C:\Windows\offline web pages\cache.txt!\??\C:\Windows\temp\ntshrui.dll用来将cache.txt开机自动重命名为C:\Windows\Temp\ntshrui.dll

创建cache.txt文件

病毒还会进行RDP爆破,其中爆破弱口令如下

病毒查杀

直接删除C:\Windows\offline web pages\cache.txt或删除注册表项是没有用的,病毒会反复回写,造成清楚不掉的现象

需要先找到病毒利用启动的svchost,也就是不断3389爆破的svchost进程,结束掉它,再进行删除操作

最新回复(0)