设为首页收藏本站

安而遇随-随遇而安

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
安而遇随-随遇而安 首页 资讯 查看内容

“PDF文件”内藏乾坤:木马也用云技术

2015-2-26 18:43| 发布者: 随便、先森。| 查看: 1049| 评论: 0|来自: freebuf

摘要: 近期,我们在下载一份PDF文件时发现一枚简单的恶意Downloader(一种病毒类型)。与其他恶意加载器不同,该恶意软件在其二进制中加入了PE Loader。肉鸡上线了?一旦执行,加载器就会抓取本地用户的系统信息,然后生成 ...

近期,我们在下载一份PDF文件时发现一枚简单的恶意Downloader(一种病毒类型)。与其他恶意加载器不同,该恶意软件在其二进制中加入了PE Loader。

肉鸡上线了?

一旦执行,加载器就会抓取本地用户的系统信息,然后生成一个URL,最后连接到一个服务器。

在上面的实例中,AVA****5(第一个被遮挡部分)是受害者的计算机名。紧接着后面的51-SP是系统的版本。

分析李鬼

加载器下载的这个文件虽然是PDF的后缀,但是文件中的内容却与PDF文件大相径庭。

这个加载器将0x74E7E1C8嵌入这个虚假的PDF文件中来进行掩饰。解密过后,如果长度和整个虚假PDF相同,那么加载器检测offset 0×12双字节的值。如果其与硬编码的签名0x2E0F1567 相同,那么就检测位于offset 4的另外一个双字节值。

加载器引导代码调用云端加载器

在上面的代码中,esi中包含了“PDF文件”的起始偏移地址,call eax实际将执行云端的加载器

我们可以看出offset 0×1134是RtlDecompressBuffer API的地址,调用API后,这个恶意PE文件就会出现,然后云端加载器使用一个小技巧来检测MZ Header Signature。

在我们的分析过程中,我们发现这个恶意软件在下载其他一些不同的恶意软件,比如W32/Battdil.I!tr 和 W32/Kryptik.CWIM!tr.

总结

为何这个恶意软件会将加载器从其二进制文件中移除呢?我们认为,这款恶意软件是为了帮助攻击者精减目标,同时云端加载器也方便恶意软件作者在以后添加更多的功能。

 参考来源Fortinet,翻译/鸢尾


鲜花

握手

雷人

路过

鸡蛋

最新评论

  • 解决 Wn10无法连接 蓝牙耳
  • Python之Selenium知识总结
  • 2万字带你了解Selenium全攻
  • 解决网站网页不能复制,不
  • 我对ddos攻击的见解以及ufo
论坛精选
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程
NTP放大反射DDOS攻
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程 图上是国外测的 本文实测 能有二三
DDOS:NTP、SSDP、DNS、SNMP、RIP 放大反射攻击、扫描脚本
DDOS:NTP、SSDP、D
NTP、SSDP、DNS、SNMP、RIP 放大反射攻击扫描脚本 不懂的 请自行谷歌 声明:本文转
返回顶部