Zloader 木马分析

 

样本信息：

MD5	5f469bd21aff0d4cad1adad0c3c123e0
SHA1	592d22543368bcef8bf4fe4d0bfcb7af9202e20f

 

样本概述：

该样本外层是个比较常见的 loader，最终的 payload 是一个 Zloader 木马。其运行后经过层层释放与执行，最终将 payload 隐藏进 msiexec.exe 进程中运行。

 

运行流程：

 

详细分析：

Loader分析：

1， 解密执行 shellcode1。

2，shellcode1 继续解密出 shellcode2 并执行，与之一并解密的还有 PE1.exe(payload)。

3，shellcode2 首先进行反调试、反沙箱，然后将当前进程映像替换为 PE1.exe。

CC 断点检测。

SetErrorMode 反沙箱。

修改当前进程映像基址处内存的属性，将进程映像替换为 PE1.exe(payload)。

执行 PE1.exe 的 EP。

Payload 分析：

1，PE1.exe 使用了多种技术进行反调试、反分析，其中包括函数地址动态获取、代码混淆、字符串加密等。

函数地址动态获取，通过传入函数名 hash 动态获得函数地址。

直接传入函数名 hash 获取函数地址。

部分函数名 hash 会经过动态异或解密后传入。

计算函数名 hash。

python 实现：

添加大量无用代码进行代码混淆，如下这段代码只实现非零判断。

字符串加密，使用的解密算法共有两种，但是 key 均为 “Qj-GCsTsm2jcwav53”。

第一种字符串解密算法。

IDAPython 实现：

第二种字符串解密算法。

IDAPython 实现：

2，PE1.exe 的 EP 执行后会创建一个傀儡子进程 msiexec.exe，然后将自身加密后注入其中，最后篡改子进程入口点。

创建傀儡子进程。

将当前进程映像加密后写入子进程。

篡改子进程入口点。

查看被篡改的子进程入口点，发现其功能是先解密被加密的自身 (payload)，然后跳转执行 RVA 为 0xD430 的函数。

3，RVA_D430() 执行后首先解密配置信息并获得用户权限。

配置信息位于 RVA 0x2A004 处，使用 RC4 算法加密，key 为 “lhtwlonbofhtiliwagfn”。

解密后的配置信息主要包括：通信标识、C2、通信秘钥。

获得用户权限信息，如果用户权限为低则不再进行后续动作。

4，判断调试开关，如果开则进行弹窗提示。

并且会搜索 Proxifier.exe 代理软件进程，如果找到则会弹窗提示。

5，获取以下用于存储运行时数据的注册表键值，获取失败则说明是首次运行，于是进行创建互斥体、生成运行时数据、持久化等操作。

HKEY_CURRENT_USER\Software\Microsoft\fxqv\ulkh

创建互斥体，互斥体名由系统盘 GUID 经过通信秘钥和 RC4 算法加密后产生。

产生 bot id，由主机名、安装日期、产品 ID 产生 bot id。

产生一个随机运行时秘钥组和一些随机的运行时路径(使用时加上 %appdata%)，使用通信秘钥加密后存储在 HKEY_CURRENT_USER\Software\Microsoft\fxqv\ulkh 中。

例：

持久化，将自身写入持久化路径，并在以下注册表处设置自启。

持久化路径：%appdata%\[持久化路径]

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

[自启名] = [持久化路径]

6，读取下载文件存储路径对应的文件，获取失败则连接配置信息中的 C2 进行下载。

使用 POST 方法连接 C2。

发送的数据包括通信标识和 bot id，经由通信秘钥加密后发送。

发送数据例：

数据校验，通过校验后将创建并写入对应的文件。

7，下载文件读取或下载成功后则进行内存展开执行。

内存展开。

执行其 EP。

 

关于我们

360沙箱云是 360 自主研发的在线高级威胁分析平台，对提交的文件、URL，经过静态检测、动态分析等多层次分析的流程，触发揭示漏洞利用、检测逃逸等行为，对检测样本进行恶意定性，弥补使用规则查杀的局限性，通过行为分析发现未知、高级威胁，形成高级威胁鉴定、0day 漏洞捕获、情报输出的解决方案；帮助安全管理员聚焦需关注的安全告警，过安全运营人员的分析后输出有价值的威胁情报，为企业形成专属的威胁情报生产能力，形成威胁管理闭环。解决当前政企用户安全管理困境及专业安全人员匮乏问题，沙箱云为用户提供持续跟踪微软已纰漏，但未公开漏洞利用代码的 1day，以及在野 0day 的能力。

360混天零实验室成立于2015年，负责高级威胁自动化检测项目和云沙箱技术研究，专注于通过自动化监测手段高效发现高级威胁攻击；依托于 360 安全大数据，多次发现和监测到在野漏洞利用、高级威胁攻击、大规模网络挂马等危害网络安全的攻击事件，多次率先捕获在野利用 0day 漏洞的网络攻击并获得厂商致谢，在野 0day 漏洞的发现能力处于国内外领先地位，为上亿用户上网安全提供安全能力保障。