先靜態分析
首先peview載入分析
分別來看看導入函數導出函數
先看導出函數
從導出函數servicemain可以知道,這次的文件需要安裝成一個服務,從而正常運行
再來看導入函數
可以看到有服務操作函數如createservice等,有註冊表操作函數如regsetvalue等
繼續往下看
還有一些http相關的操作函數
在data中看到一些與註冊表相關的字符串
以及http訪問相關字符串
接着動態分析
之前分析的結果告訴我們需要使用導出函數InstallA將自身註冊爲服務,我們需要藉助rundll32.exe
Rundll32.exe是系統自帶的,這裏我將本次用到的dll文件放在了c盤根目錄下
我們通過regshot進行運行前後的比對
先“提取1”
運行
然後“提取2”
“比較”
會自動打開如下所示
這裏可以看到惡意代碼將自身安裝爲IPRIP服務
繼續往下可以看到
在imagepath處被設置爲svchost.exe
可知,這次的dll文件將會掛在svchost上運行
此外,看到了INA+等信息,這些可能是這個dll執行後獨有的特徵
在安裝爲服務之後,可以啓動運行它了
前面我們看到它安裝爲IPRIP服務,我們可以使用windows中的net命令啓動。在啓動之前,我們打開監控工具:process monitor,process explore,wireshark
來到explorer,因爲該軟件是dll,所以在process explorer不會直接顯示出來,需要如下操作找到它
如圖所示操作
輸入dll名字,點擊search即可
在下圖中可以看到,這個dll由pid爲1024的svchost.exe加載
切換到process monitor,這裏通過pid來過濾
結果如下
看看wireshark,由於流量很多,直接過濾,看到有執行practicalmalwareanalysis.com的dns請求
過濾get請求,可以看到會訪問malware.com/serve.html,與我們之前靜態分析的一致