熊猫烧香分析报告

Posted Clark的个人博客

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了熊猫烧香分析报告相关的知识,希望对你有一定的参考价值。

 

 

分析报告

 

样本名

熊猫烧香

版本

原版

时间

2018-03-18

平台

Windows 7-32

 

信息安全研究(病毒分析报告)

目录

1.样本概况... 2

1.1 样本信息... 2

1.2 测试环境及工具... 3

1.3 分析目标... 3

1.4 提取样本... 3

1.4.1查壳... 3

1.4.2 具体提取步骤... 3

1.4.3 提取样本... 4

2.具体行为分析... 5

2.1 主要行为... 5

2.2 分析情况总结:... 10

2.3 详细分析... 11

3.解决方案... 25

3.1 手工查杀步骤或是工具查杀步骤或是查杀思路等。... 25

1.样本概况

1.1 样本信息

病毒名称:   熊猫烧香

所属家族:   感染性病毒(Virus) /蠕虫病毒(Worm) 

大小:             30001 bytes

MD5值:       512301C535C88255C9A252FDF70B7A03

SHA1值:     CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870

CRC32:      E334747C

病毒行为:   复制自身、感染PE文件、覆写PE文件、修改注册表自启动、枚举进程、结束杀软进程、删除安全软件相关启动项

 

1.2 测试环境及工具

Win7 32位、OD/IDA/x64DBG/火绒剑/ExeiofoPE/

1.3 分析目标

分析病毒永久驻留方式,感染的方式,网络连接,病毒的恶意行为

1.4 提取样本

1.4.1查壳

 技术分享图片

Exeinfo 可查是该程序是FSG壳,FSG是压缩壳,稍后对它进行手动脱壳

1.4.2 具体提取步骤

使用APK工具(PC-Hunter)查看可疑进程

技术分享图片

查看启动项(注册表,计划任务等)

技术分享图片

查看驱动模块,服务未发现可疑项

查看一下其他的杂项,网络连接等

使用抓包工具(WSExplorer)查看可疑流量

 

1.4.3 提取样本

从上面启动项可以看到,病毒自我复制了一个文件到C:WindowsSystem32drivers目录下

将它提取出来,重命名后缀为vir,以供下一步具体分析。

 技术分享图片

技术分享图片

2.具体行为分析

这个环节的目标是分析样本的行为,尽可能全面发现恶意行为

方法概述:

获取样本后,使用监控工具(火绒剑)监控样本的运行。

分析监控到的日志,主要观察的点有:

1, 文件操作,主要看文件创建、修改、删除等操作

2, 注册表操作,主要看注册表设置、创建等操作

3, 进程操作,主要看创建进程,写入内存等操作

4, 网络操作,主要看网络连接地址,IP等信息

5, 其他行为,以及自己观察样本虚拟机内运行后的反应

2.1 主要行为

分析监控到的日志

1. 文件操作,主要看文件创建,修改,删除等操作,设置监控的行为(动作),只查看文件操作的关键行为:

 技术分享图片

将样本vir文件直接拖进火绒剑内:

 技术分享图片

技术分享图片

技术分享图片

可以发现样本创建了一些文件,观察文件,有一些文件与样本大小一致,猜测是复制的样本,感染了很多exe文件

2. 注册表过滤,主要看注册表设置,创建等:

技术分享图片

技术分享图片

3. 进程操作,主要看创建进程,写入内存操作,对监控工具进行过滤:

 技术分享图片

查看过滤后的结果:

 技术分享图片

4. 网络操作,主要看网络链接地址,IP等信息,首先对监控工具进行过滤设置:

 技术分享图片

技术分享图片

5. 其他行为,人肉看样本运行后的反应,其他行为,人肉看样本运行后的反应

技术分享图片

查看结果,发现样本擦混改建了许多Desktop_ini文件,感染了许多exe,而且exe 的图标已经变成了熊猫烧香

 技术分享图片

设置监控工具,只查看执行监控,可以发现cmd进程的创建:

 技术分享图片

2.2 分析情况总结:

分析监控的日志以及人肉之后,可以分析出样本的恶意行为:

  1. 自我复制样本到C盘:C:WindowsSystem32目录下,

启动C:WindowsSystem32driversspo01.exe(即样本)

  1. 在每一个目录下创建了一个Dosktop_.ini,里面是当前日期
  2. 在C盘根目录下创建了autorun.inf文件,里面指定了自动启动的文件为根目录下的setup.exe(即样本)
  3. 对程序目录下的exe进行了感染,图标变为熊猫烧香,打开exe时,自动打开病毒
  4. 设置注册表启动项为:C:/Windows/driver/spo01sv.exe
  5. 设置注册表键值,隐藏文件不显示
  6. 自己创建了一个注册表的项,在其中写入了很多信息
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftTracingspo01sv_RASAPI32
  7. 枚举进程,查找窗口,打开设备
  8. 连接局域网的一些地址,访问外面的一些网址

10. 使用cmd命令关闭了网络共享

2.3 详细分析

通过以上分析可以知道恶意代码的一些恶意行为,想要获取更加详细的行为需要使用IDA或是OD分析样本

详细分析过程:

上面用Exeinfo查看到此程序是FSG2.0的压缩壳,以下进行手动脱壳:

单步运行到0x00401D1,此处jmp 的就是OEP,F7单步步入,在此处dump程序,然后修复IAT即可。

 技术分享图片

技术分享图片

脱过壳后的程序使用Peid深度扫描可以识别出程序是使用delphi编译的:

 技术分享图片

技术分享图片

导入签名后,采用OD/Ida,动静结合的方法分析恶意代码;

先使用IDA的F5快捷键查看下伪c代码,先对此程序有一个大约的框架。

根据伪C代码,可以发现OEP函数一开始全是初始化变量,调用的第一个函数sub_405250,参数中有字符串“xboy”,而另一次调用中,参数有字符串“whboy”,在调用sub_405250函数后,有LStrCmp字符串比较函数的调用,之后就是判断返回值的代码,可以猜测函数sub_405250应该是解密字符串函数。

剩下的三个sub_xxx开头的函数应该是恶意代码函数,在这个代码的末尾有一个消息循环,猜测是等待恶意代码执行完毕后,函数才退出(稍后再OD中验证此推测)。

所以OEP函数可以分为四部分:

 技术分享图片

技术分享图片

动态跟踪验证对sub_405250函数的猜测,发现堆栈中解密字符串,跟踪调用完函数之后,LStrCmp函数的参数是解密的字符串与全局变量字符串:

 技术分享图片

由此可以确定sub_405250函数确实是一个解密字符串函数:

 技术分享图片

技术分享图片

在IDA中对sub_405250函数名进行修改:

 技术分享图片

然后分析剩下的几个执行恶意代码的函数:

 技术分享图片

sub_40819c函数分析:

复制了自己到系统驱动目录下,然后

 技术分享图片

sub_40D18C函数分析:

 技术分享图片

sub_40A5B0:

在回调函数内分析,此函数在遍历目录,并在感染后的文件夹内创建标记文件Desktop.ini

 技术分享图片

如果文件是GHO(备份),则将其删除:

 技术分享图片

Sub_40C374:

 技术分享图片

进入回调函数查看:

 技术分享图片

技术分享图片

技术分享图片

技术分享图片

技术分享图片

第三个函数sub_40D088:

这个函数中创建线程,进行网络连接:

调用了6个定时器: 

 技术分享图片

第一个定时器(一秒触发一次):

 技术分享图片

设置了文件隐藏属性:

OpenProcessToken获取访问令牌; 
利用LookupPrivilegeValueA可以获取本地唯一标识符(LUID) 
OpenProcessToke和LookupPrivilegeValueA获取的信息被AdjustTokenPrivileges利用,进行提权: 

 技术分享图片

发现是在检查是否有杀毒软件,如果有,则让其关闭 

 技术分享图片

技术分享图片

均采用此方法分析可知:

第二个定时器(20分钟触发一次):

从http://wangma.9966.org/down.txt网站读取到网页源代码并且运行代码

 技术分享图片

第三个定时器(10秒触发一次):

调用如下命令来删除共享:

cmd.exe /c net share C$ /del /y

cmd.exe /c net share A$ /del /y

cmd.exe /c net share admin$ /del /y

 技术分享图片

第四个定时器(6秒触发一次):

 技术分享图片

第五个定时器(10秒触发一次):

打开解密之后的网页:

 技术分享图片

第六个定时器(30分钟触发一次):

又是在下载恶意代码:

 技术分享图片

至此,分析基本结束。

3.解决方案

3.1 手工查杀步骤或是工具查杀步骤或是查杀思路等。

1、删除【C:WindowsSystem32driversspcolsv.exe】文件

2、删除【HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVer

sionRun】键项的svcshare

3、删除每个盘符根目录下生成两个文件【autorun.inf和setup.exe】文件

4、设置【HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorer

AdvancedFolderHiddenSHOWALL】,CheckedValue的键值设置为1(显示隐藏文件)

 




以上是关于熊猫烧香分析报告的主要内容,如果未能解决你的问题,请参考以下文章

熊猫烧香分析报告

熊猫烧香病毒分析

练手之经典病毒熊猫烧香分析(上)

熊猫烧香病毒源码及分析

病毒分析-利用Process Monitor对熊猫烧香病毒进行行为分析

号称病毒之王的“熊猫烧香”详细分析