利用log4shell传播的StealthLoader病毒分析后续


概述:

在上篇文章中我们对StealthLoader做了简单的分析,本文将简要分析StealthLoader加载的StealthBot的内容。

从上篇文章结尾处的load的位置dump出样本,发现此样本有混淆,有反调试,通过与”microsoft.com”尝试通信检测网络;并且获取系统信息,最终释放挖矿程序以及账户配置信息等,通过创建开机启动项等实现持久化。

行为分析:

去混淆后可以更清晰的看出程序的逻辑,获取程序执行的路径

获取两次获取系统时间作差检测调试。

创建子线程,休眠 2147367705ms后杀死当前主进程。

尝试解析“microsoft.com”的ip,如果解析不成功则杀死进程。

一些反调试的操作。

通过子线程获取一些系统信息包括系统的bios版本,核心名等,在system32目录下写入文件并创建系统服务

通过遍历进程列表找到进程中到的指定程序,然后通过发送代码直接到指定驱动程序,实际释放为gmer64.sys程序。

创建互斥体,并创建两个子线程,一个是对进程中做检测,另一个是解密并释放挖矿程序与其配置文件。

Xmrig.exe,具体内容不做分析。

dir.json -- 为配置文件

在注册表中修改开机启动项,实现持久化。

解出powershell脚本并通过创建服务实现持久化

总结:

与常规挖矿套路是相似的,都是为了加载最后的挖矿程序以及配置文件,从而指定到账户。我们防护时需要把相应启动的服务全部杀死,并且将注册表中添加的启动项以及服务中的相应项删除,以免重启机器后自启;检查自己的c:windowstemp 以及C:windowssystm32目录下是否有特殊/异常文件,

Ioc:

ec07adfcdf6e3e4a1e84191eb1cf6a91 StealthLoader.exe a822b9e6eedf69211013e192967bf523 gmer64.sys b179749d5bf92bfe3af4cb0c08916ff5 xmrig.exe 9844b2f687e8628c9514ebb67096397a StealthBot.exe hxxp://2.56.59[.]64/setup.exe pool.supportxmr[.]com:443 monerohash[.]com:9999 User address: 4AeriA3wiocD9gUjiw7qptRDfECriZJac8CgGbfUUPUmMSYtLE43dr2XXDN6t5vd1GWMeGjNFSDh5NUPKBKU3bBz8uatDoC

本文作者:ChaMd5安全团队

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/172435.html

Tags:
评论  (0)
快来写下你的想法吧!

ChaMd5安全团队

文章数:63 积分: 181

www.chamd5.org 专注解密MD5、Mysql5、SHA1等

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号