freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

全新后门文件Nev-3.exe分析
2022-05-05 09:49:03

一、 样本发现:

蜜罐

二、 内容简介:

通过公司的蜜罐告警发现一个Nev-3.exe可执行文件文件,对该样本文件进行分析发现,该可执行程序执行后会从远程服务器http://194.146.84.2:4395/下载一个名为“3”的压缩包,解压后也是Nev-3.exe文件,文件下载地址194.146.84.2在微步威胁情报社区查询后,发现发现两个通信样本Nev-3.exe、记录表d3.rar,经过分析两个样本行为人特征一致。样本运行后释放到目录“C:\Users\Public\Music\” 下,随后执行目录中的恶意文件 AntiAdwa.exe,AntiAdwa运行后会向服务端发送保活连接,等待服务端下发指令,从而实现远程控制行为。

三、 分析研判

3.1 样本获取

蜜罐下载样本文件Nev-3.exe,文件hash值如下:

md5:de1cde20941be48bcf6c2b6b663393a2

sha1:0a8b22faee05998b05169e0e6190108c6d72021d

sha256:1142e91de910f5cc3c6bda635b990d6c28142b1818fd21ccb1257b77b75338f8

1651713743_627326cfe6c6b9da896e7.png!small?1651713756034

图1 样本示例

该样本在微步在线情报IOC已被标记为恶意软件(高危)。

1651713779_627326f3a8bdc333de0ef.png!small?1651713791827

图2 样本威胁情报IOC查询

3.2 样本分析

(1)静态分析

使用IDA 打开进行分析后发现Nev-3.exe是一个加载程序,文件运行后会产生一个无运行界面的掩藏程序,该进程的主要作用是判断进程中是否存在AntiAdwa.exe进程。

1651713806_6273270e2d75f866288e9.png!small?1651713818223

图3 样本程序入口函数

1651713822_6273271ecae821c535e02.png!small?1651713834896

图4 程序自动检测是否存在AntiAdwa.exe进程

如果不存在存在AntiAdwa.exe进程,则从远程文件服务器:194.146.84.2:4395下载文件。

1651713836_6273272ca23f748ec4d8a.png!small?1651713848781

图5 样本内置远程C2地址194.146.84.2:4395

(2)使用wireshark抓包分析。

将Nev-3.exe程序在本地运行后,使用wireshark进行抓包可看见有大量的可疑tcp连接。

1651713856_62732740dfc9f86f21282.png!small?1651713869869

图6 本地运行样本程序抓流量包,也发现C2地址194.146.84.2

分析连接网络流量,可以发现网络流量请求数据包作用就是从远程文件服务器(194.146.84.2)下载一个文件名为“3”的文件,具体数据包如下所示:

1651713870_6273274edb0dc8ad5fe10.png!small?1651713883056

图7 样本会自动下载http://194.146.84.2:4395/3文件

打开文件服务器http://194.146.84.2:4395/可看见上面存有可疑文件,下载文件名为“3”的文件。

1651713884_6273275c406b730b20b87.png!small?1651713896270

图8 运行样本流量发现请求http://194.146.84.2:4395/3验证

“3”这个文件里面包含了AntiAdwa.exe、Excep.tct、svchost.txt、rundll3222.exe四个文件。

1651713899_6273276b196a8d4f14af5.png!small?1651713911101

图9 木马文件地址http://194.146.84.2:4395/3下载文件

AntiAdwa.exe下载后会创建一个名为“AntiAdwa.exe”的新进程,文件执行后会结束Nev-3.exe进程。

1651713912_62732778810df0c8eed06.png!small?1651713924546

图10 子样本程序AntiAdwa.exe运行偶进程

使用文件管理工具everything在本机上搜索“AntiAdwa.exe”在路径“C:\Users\Public\Music\1650357864”下发现了Nev-3.exe进程下载解压后的四个文件。

1651713947_6273279becc6df1445f89.png!small?1651713960045

图11 AntiAdwa.exe归属为Nev-3.exe解压后文件夹

通过沙箱对AntiAdwa.exe文件分析定义为Generic木马家族的灰色软件。

1651713960_627327a826b58bdee91f1.png!small?1651713972239

图12 AntiAdwa.exe程序情报查询

通过查看本地连接信息可以发现,进程id为3180对ip地址193.84.248.67的1022端口发送了syn请求,而3180所对应的进程是AntiAdwa.exe运行后的进程id。

1651713971_627327b33b830afd154f5.png!small?1651713983228

图13 AntiAdwa.exe运行后进程

使用wireshark抓包后可以看见程序与远程服务器的大量tcp连接,被控端通过长链接(keep-alive)与服务端保持联系,数据包每隔20秒发送一次。

1651713982_627327bebd3794665e5ec.png!small?1651713995065

图14 抓包发现C2地址 193.84.248.67

当服务端发现被控端上线后开始下发指令,双方开始互传数据。从追踪的流特征可以发现,数据包伪装成360安全卫士木马查杀模块进行数据传输,所传输的数据都被加密具体数据包如下:

1651713992_627327c8114403bbea4e6.png!small?1651714004198
图15 与C2地址通信被加密,并伪装为360安全卫士

1651714002_627327d2438ea07bd4879.png!small?1651714014491

图16 与C2地址通信被伪装为360安全卫士

在微步在线情报社区查询193.84.248.67地址情报信息:

威胁情报查询发现两个通信样本Nev-3.exe、记录表d3.rar:

1651714026_627327eaf34518c3c8b6d.png!small?1651714039402

图17 C2地址威胁情报IOC查询,发现“记录表d3.rar”文件

下载记录表d3.rar样本,使用压缩软件打开后可以看到一个可执行文件,“记录表d3.exe”,其 hash值为:

SHA256b72acf4b6a14655e8583b209b60c2bf0177af1e40ffa4765523cd9bbbad48451

1651714039_627327f790d3b8768ff91.png!small?1651714052129

图18 C2地址关联“记录表d3.rar”文件样本

运行该文件后在C:\Users\Public\Music\1650357235目录下释放了四个文件。

1651714048_627328007fad528269e93.png!small?1651714061131

图19 “记录表d3.exe”文件运行后进程

1651714058_6273280a6778ea2b85193.png!small?1651714070479

图20 “记录表d3.exe”文件进程所在目录

使用IDA工具打开进行静态分析,其特征和Nev-3.exe一致。

1651714071_6273281702e73a5dcfbe2.png!small?1651714083293

图21 C2关联的“记录表d3.exe”与本次样本Nev-3.exe特征一致

结合其运行特征和静态特征来看,记录表d3.exe和Nev-3.exe是功能相同的文件。

(3)进程跟踪分析

在虚拟机中运行Nev-3.exe,对其进程进行跟踪分析其行为特征。
1、在C:\Users\Public\Music\目录下创建一个文件夹

1651714095_6273282f4fd40506736a8.png!small?1651714107481

图22 Nev-3.exe样本运行后会创建新文件夹

2、创建tcp连接下载文件名为“3”的文件,保存为2.rar
1651714104_62732838e7f1ad07af797.png!small?1651714116969

图23 从木马文件地址下载“3”文件,保存为2.rar

  • 下载文件名为“77”的文件,保存为exe

1651714141_6273285ddf77e15e48136.png!small?1651714153964

1651714146_6273286298cac067515e1.png!small?1651714158727

图24 从木马文件地址下载“77”文件,保存为7z.exe

  • 执行exe解压下载好的2.rar文件
  • 1651714168_627328785a4b7cfcbbcf6.png!small?1651714180386图25 执行7.exe解压下载好的2.rar文件
  • 复制文件txt、rundll3222.exe、svchost.txt到C:\ProgramData\目录下,并把except.txt重命名为360.dll(伪装为360杀毒软件的库文件)。
  • 1651714217_627328a985bd80f36de3b.png!small?1651714229623图26

6、运行AntiAdwa.exe并加载excep.txt文件随后删除下载好的2.rar和7.exe文件。随后结束Nev3.exe的进程。
1651714246_627328c69dd619c7069ab.png!small?16517142586641651714303_627328ff868eca6848bbf.png!small
图27
7、加载svchost.txt文件

1651714345_627329290f43e82a95d97.png!small
8、创建ini.ini文件

1651714364_6273293cdb5193e53f2e6.png!small?1651714376971

9、创建jdi文件夹后创建一个名为“11111”的快捷方式、释放文件jdivip.exe、per510.dll到C:\ProgramData目录下。
1651714370_62732942ba88162ad7aa2.png!small?16517143828491651714378_6273294a10ad0c742e072.png!small?1651714390075

10、创建压缩文件1.zip和ark.x64.dll文件随后删除

1651714391_62732957c330f4836e40f.png!small?16517144038411651714397_6273295d7fc1d2a1022c2.png!small?1651714409715
11、每隔20秒向服务端发送一次保活连接

1651714403_6273296370498b8eabc33.png!small?1651714415699

12、当服务端下发指令后双方开始互发数据

1651714415_6273296f599641a8851aa.png!small?1651714427667

在AntiAdwa.exe运行后加载了svchost.txt,使用IDA工具对其进行静态分析,可发现其对多种浏览器和杀毒软件进行了数据收集。

1651714702_62732a8e19edbe0110bb3.png!small?1651714714304加载svchost.txt

1651714690_62732a829fd06f3672749.png!small?1651714702859

浏览器信息收集

1651714674_62732a72ea323a1144064.png!small?1651714687142杀毒软件信息收集

IOC情报

C2地址:193.84.248.67

木马文件地址:194.146.84.2:4395

四、 应对策略

把涉及的通信地址加入黑名单。

当发现计划任务中存在exe进程时,及时关闭进程。

删除“C:\Users\Public\Music\” 目录下的可疑文件夹;删除“C:\ProgramData\目录下”的dll、rundll3222.exe、svchost.txt;删除“C:\ProgramData”目录下的jdivip.exe、per510.dll。

本文作者:, 转载请注明来自FreeBuf.COM

# 后门程序 # 后门分析
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
\
  • 0 文章数
  • 0 评论数
  • 0 关注者
文章目录
登录 / 注册后在FreeBuf发布内容哦