《小白学分析》某勒索病毒分析报告

原創

2020-06-29 00:18

0x00 样本信息

样本名称：eef83497e8aa02d644b7d071be81a678e1611aa6
MD5：5853957178FE89022855A530A4B0AA20
SHA-1：60AF429E4AFF32E49405DF04710F41757D30F4F0
创建时间：星期一 01 七月 2019, 13.55.28
壳：UPX

0x01 测试环境及工具

环境： Windows 7 x86
工具： OD，IDA，PEiD，火绒剑。

0x02 样本行为

样本运行后，首先调用一些启动函数，获取相关信息和进行初始化，然后进行PE文件校验，跳到shellcode地址去将原PE文件拷贝并修改，然后加载动态库并获取相关函数地址，之后杀死旧进程，新的进程会遍历文件，将一些特定文件进行加密，后缀为.litar，并且留下勒索信息。

0x03 行为详细分析

查壳：使用PEiD查壳，发现是UPX壳。

直接脱壳。

OD加载程序，停在sub_412CC7处，发现就是获得一些系统时间等信息，继续往下分析。发现就是一些启动函数的初始化行为，进行简单分析。

对PE文件进行校验。

执行到sub_4126B0(),初始化之后需要用到的函数地址。

获得病毒的文件路径。
“”“C:\Users\Shine\Desktop\脱壳\eef83497e8aa02d644b7d071be81a678e1611aa6"”"

获取所需环境变量。(简单列举几个)
(UNICODE “USERSPROFILE=C:\ProgramData”)，…

获取病毒文件信息

获得环境变量和文件信息后，继续执行初始化操作。

进行一些初始化，初始化一些全局变量和调用一些驱动器挂载、注册表相关的处理函数，这里不做详细详细说明。
Shellcode
之后发现了一段用来解析和执行shellcode的代码

我们在OD中，进入shellcode地址。

加载动态库，获得之后要使用的函数地址。

进入第二个函数内，先申请一块内存，并修改内存属性，修改为可写的。

修改PE区段信息并拷贝保存
前面的修改内存属性，为之后的修改PE区段信息做准备。
现在开始修改。将原区段信息拷贝到刚才申请的内存当中。
PE文件区段包括.text、.data、.rdata、.rsrc、.reloc段。

拷贝函数内部实现。

拷贝完成之后，释放内存。

接下来的操作是频繁地加载动态库，获取函数的地址

例如：

eax=0045A154 (eef83497.0045A154), ASCII “InternetCloseHandle”
EAX 0045A12C ASCII “InternetOpenUrlW”
EAX 76601C80 WININET.InternetReadFile
EAX 0045A17E ASCII “HttpQueryInfoW”
eax=0045A1C4 (eef83497.0045A1C4), ASCII “PathFindExtensionW”
eax=0045A204 (eef83497.0045A204), ASCII “PathFileExistsA”
eax=0045A250 (eef83497.0045A250), ASCII “GetCommandLineW”
eax=0045A262 (eef83497.0045A262), ASCII “CreateFileA”
eax=0045A270 (eef83497.0045A270), ASCII “FindFirstFileW”
eax=0045A282 (eef83497.0045A282), ASCII “SetFilePointer”
eax=0045A2D0 (eef83497.0045A2D0), ASCII “CreateProcessW”
eax=0045A2E4 (eef83497.0045A2E4), ASCII “CreateDirectoryW”

再杀死进程，并退出进程。