惡意樣本分析–更新下載器分析
這個樣本是一個更新模塊,運行程序後會自動下載相關的模塊並且自動運行。
現象
程序運行後,啓動了瀏覽器,同時看到創建了一個名爲wupdmgr.exe的進程
由於我的環境設置了過了,網絡沒有打開,之後進程wudpmgr.exe會自動退出
分析
分析母體
使用ida打開樣本後,首先獲取EnumProcessModules,GetModuleBaseNameA,EnumProcess三個APIs的函數指針
接着調用EnumProcess函數枚舉進程並調用sub_401000查找目標進程
進入到sub_401000函數分析後知道,主要是通過EnumProcessModules獲取所有加載的模塊,然後通過GetModuelBaseNameA獲取模塊名稱和winlogon.exe進行對比
判斷結果相等,程序會跳過外層的循環判斷,進入到sub_401174的調用
進入到sub_401174的調用後,程序會提升程序的權限
修改權限完成後,開啓一個線程將SeDebugPrivilege設置給線程執行
SeDebugPrivilege具體參考(https://medium.com/palantir/windows-privilege-abuse-auditing-detection-and-defense-3078a403d74e)
接着將C:\Windows\system32\wupdmgr.exe複製到%tmp%\winup.exe
複製到tmp目錄下的winup.exe文件
複製完成後,接着將資源文件內的數據寫入到wudpmgr.exe內
提取這個文件保存爲payload.exe
繼續往下分析,此時運行中的內存數據
複製成功後調用WinExeC函數啓動這個程序,因此看到的進程名爲wudpmgr.exe
分析payload
程序啓動payload.exe後,程序會將%tmp%\winup.exe啓動
之後會從網絡http://www.practicalmalwareanalysis.com/updater.exe下載update.exe到本地的wupdmgr.exe
最後會啓動這個程序
嘗試從這個站點下載程序,發現已經不存在了,到這就分析完了。
總結
程序在運行後會將winupdmgr.exe複製到%tmp%\winup.exe之後會複製資源文件內的pe文件到winupdmgr.exe下,之後創建進程執行這個程序,程序會從指定的網絡下載一個update.exe程序,猜測這個程序應該是一個更新器,負責更新相關的模塊。