多成果Kasidet家族病毒解剖 8090安适门户
一、 配景介绍
近日,深信服安适团队在云查记录中捕获到一款高度活跃的病毒,并对其进行了深入分析后确定该病毒为Kasidet家族,这次分析的病毒主要通过窃取系统信息然后连接处事器按照打击者分发差此外命令执行差此外成果,打击者可以操作受传染的计算机作为打击平台实施各类网络打击,如DDoS打击、局域网传染、散布蠕虫病毒、窃取机密资料等,其隐秘性、粉碎性和威胁水平都远大于单一的网络打击模式。
二、 样本信息
病毒名称:Trojan.Win32.Kasidet
病毒性质:远控
风险品级:高级
流传方法:主要通过电子邮件附件、局域网、USB、可移动磁盘等方法进行流传。
该病毒的图标及详细信息,如下:
三、 样天职析
1. 该病毒的核心代码颠末加密措置惩罚惩罚,运行后首先会挪用VirtualAlloc申请空间在内存进行PE文件解密,然后再执行到PE文件入口点,如下:
2. 解密后的PE文件分析,挪用函数SetUnhandledExceptionFilter设置异常捕获,获取当前进程句柄,提升自身权限为Debug权限,如下:
3. 创建互斥体变量“4ZBR19116-NNIF”,为制止措施反复运行,如果存在该变量则退出,如下:
4. 创建文件夹%APPDATA%\4ZBR19116-NNIF\,并将自身重定名为{随机名}.exe复制到该目录下,判断当前用户是否为打点构成员,设置注册表HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,到达开机自启动的目的,复制explorer.exe的创建时间改削为自身文件的创建时间,然后启动进程复制后的文件{随机名}.exe,如下:
5. 创建线程,监视注册表勾当状态使应用措施可以接收事件通知指定的注册表项及其子项的变动,如下:
6. 获取系统的安置时间RegId,判断系统的版本号,获取系统安置的杀毒软件信息,扫描获取本地局域网内的IP地点,获取受传染机的安置密钥,动态解密上线地点,发奉上线验证数据,期待远控命令。查抄%APPDATA%,%TEMP%和%ALLUSERSPROFILE%中的所有可执行文件,代码如下:
该病毒对付发送的每一个请求,城市查抄此中的验证密钥,成立连接后,发送验证密钥“21232f297a57a5a743894a0e4a801fc3”,期待接收远控指令,如下:
7. 挪用CreateToolhelp32Snapshot函数遍历系统进程,查找浏览器进程firefox.exe、chrome.exe 、iexplore.exe 、Opera.exe,然后选择对应的浏览器以POST请求的方法发送受传染机的数据,如下:
8. 数据以“getcmd=1&uid=%sⓈ=%s&av=%s&nat=%s&version=%s&serial=%s&quality=%i”字符串的形式进行发送,此中uid暗示受传染的计算机guid,os暗示操纵系统上的数据,av暗示已安置的防病毒软件, nat暗示本地IP地点信息,version暗示安置的版本,quality 是检测到的病毒数量,如下:
9. 如果连接处事器告成,可接收执行的远控命令,如下:
接收可执行的远控命令,相关代码如下:
10. 反调试技术分析:
a. 通过IsDebuggerPresent和CheckRemoteDebuggerPresent查抄措施是否为调试状态。
b. 通过获取系统用户名及模块用于查抄沙箱和虚拟机,受查抄的用户名“MALTEST、TEQUILABOOMBOOM、SANDBOX、VIRUS、MALWARE、SAMPLE、VIRUS、SANDBOX”。
c. 通过kernel32.dll查抄是否有导出函数”wine_get_unix_file_name”来检测wine软件。
d. 通过注册表来查抄VMware虚拟机、VirtualBox虚拟机、QEMU模拟器,相存眷册表及值如下:
SOFTWARE\\VMware, Inc.\\VMware Tools
HARDWARE\\DEVICEMAP\\Scsi\\ScsiPort0\\ScsiBus0\\TargetId0\\Logical Unit Id 0 ,值:“Identifier”、“VBOX”。
HARDWARE\\Description\\System,值:“SystemBiosVersion”、“VBOX”
SOFTWARE\\Oracle\\VirtualBox Guest Additions HARDWARE\\Description\\System,值:“VideoBiosVersion”、“VIRTUALBOX”
HARDWARE\\DEVICEMAP\\Scsi\\Scsi Port 0\\Scsi Bus 0\\Target Id 0\\Logical Unit Id 0,值:“Identifier”、“QEMU”
"HARDWARE\\Description\\System,值:“SystemBiosVersion”、“QEMU”
如果此中有一项条件满足,则弹堕落误对话框,启动自我删除,退出措施,代码如下:
四、 相关IOC
MD5
原始样本:99F5AD74262E5CD0509D5DCE82262D02
解密后的PE:C6530B4293D79D73D4FF0822A5DB98A8
DNS
nutqss123a10cc.com
nutqss123a2cc.com
nutqss123a3cc.com
nutqss123a4cc.com
nutqss123a5cc.com
nutqss123a6cc.com
nutqss123a9cc.com
nutqss123a1cc.com
nutqss123a11cc.com
nutqss123a12cc.com
nutqss123a13cc.com
URL
原文链接:?post=208
温馨提示: 本文由杰米博客推荐,转载请保留链接: https://www.jmwww.net/file/pc/12449.html