惡意樣本分析–更新下載器分析
這個樣本是一個更新模塊,運行程序後會自動下載相關的模塊並且自動運行。
現象
程序運行後,啓動了瀏覽器,同時看到創建了一個名爲wupdmgr.exe
的進程
由於我的環境設置了過了,網絡沒有打開,之後進程wudpmgr.exe
會自動退出
分析
分析母體
使用ida打開樣本後,首先獲取EnumProcessModules,GetModuleBaseNameA,EnumProcess
三個APIs的函數指針
接着調用EnumProcess
函數枚舉進程並調用sub_401000
查找目標進程
進入到sub_401000
函數分析後知道,主要是通過EnumProcessModules
獲取所有加載的模塊,然後通過GetModuelBaseNameA
獲取模塊名稱和winlogon.exe
進行對比
判斷結果相等,程序會跳過外層的循環判斷,進入到sub_401174
的調用
進入到sub_401174
的調用後,程序會提升程序的權限
修改權限完成後,開啓一個線程將SeDebugPrivilege
設置給線程執行
SeDebugPrivilege
具體參考(https://medium.com/palantir/windows-privilege-abuse-auditing-detection-and-defense-3078a403d74e)
接着將C:\Windows\system32\wupdmgr.exe
複製到%tmp%\winup.exe
複製到tmp目錄下的winup.exe
文件
複製完成後,接着將資源文件內的數據寫入到wudpmgr.exe
內
提取這個文件保存爲payload.exe
繼續往下分析,此時運行中的內存數據
複製成功後調用WinExeC
函數啓動這個程序,因此看到的進程名爲wudpmgr.exe
分析payload
程序啓動payload.exe
後,程序會將%tmp%\winup.exe
啓動
之後會從網絡http://www.practicalmalwareanalysis.com/updater.exe
下載update.exe
到本地的wupdmgr.exe
最後會啓動這個程序
嘗試從這個站點下載程序,發現已經不存在了,到這就分析完了。
總結
程序在運行後會將winupdmgr.exe
複製到%tmp%\winup.exe
之後會複製資源文件內的pe文件到winupdmgr.exe
下,之後創建進程執行這個程序,程序會從指定的網絡下載一個update.exe
程序,猜測這個程序應該是一個更新器,負責更新相關的模塊。