发这篇的时候已是在此岗位工做接近尾声等待交接离职,交接过程当中发现本身刚开始作支撑时候遇到驻场人员发现态势感知检a测到有mirai样本,样本跑不起来,驻场人员对网络须要排查肯定甲方设备安全。经过发回的样本进行分析,提供驻场人员相关建议,简单的作了一点分析记录,直接分享出来。具体的事件已经记不大清楚。html
PEID查看样本为UPX加壳程序。shell
图1.1样本查壳浏览器
对样本脱壳后信息以下:安全
文件名称网络 |
b89_upack.exe函数 |
文件大小工具 |
88kurl |
文件类型spa |
Win32.EXE操作系统 |
MD5 |
339E5B6DBDC0E36D07EE5B665284B72A |
SHA1 |
297377EB5FB956A3C641C80C7BBD51133327C9EF |
表1.1样本信息
环境:Windows7x86
工具:PEID IDA ollydbg 火绒剑
初步分析样本经过sc.exe修改服务状态,链接恶意网址下载恶意文档及程序,并调用系统cmd.exe ping.exe等系统工具执行ping命令,以及设置服务操做,基本判断为恶意文档。
Virustotal平台行为检测49/69
图3.1VT扫描信息
火绒剑行为监测,程序屡次调用cmd.exe,sc.exe系统程序。执行ping sc start等命令,最后cmd命令del完成自我删除。
开启服务函数。
修改注册表项。
设置DNS,NameServer 223.5.5.5 ,微步查询为恶意。
经过访问http://223.25.247.240/ok/ups.html 获取恶意文件下载拼接IP:66.117.6.174
传入66.117.6.174拼接下载地址: 66.117.6.174/update.txt、返回下载文件url,及放置路径
经过访问http://66.117.6.174/wpd.jpg下载后缀为.jpg文件,查看格式为PE文件,并修改文件名为msinfo.exe。查找文件名有一下发现相关信息。
经过访问http://66.117.6.174/myl.html下载执行脚本。
删除自身函数
释放的Msinfo.exe依赖wpcap.dll,packet.dll连接库。运行Msinfo.exe
Msinfo.exe外联网络请求
利用cmd sc net 命令配置环境。
Msinfo.exe释放csrs.exe
运行csrs.exe
Csrs.exe外联Url返回运行操做系统。
、
释放文件在浏览器浏览记录目录下
45.58.135.106/xpxmr.dat,
45.58.135.106/ok/wpd.html
66.117.6.174/wpdmd5.txt,
66.117.6.174/wpdtest.dat,
66.117.6.174/ver.txt,
66.117.6.174/shellver.txt
66.117.6.174/csrs.exe,
NET_connect 23.128.64.134:443,
NET_send, 23.128.64.134:443,
NET_send, 23.128.64.134:443,
NET_send, 23.128.64.134:443,
NET_send, 23.128.64.134:443,
51.143.22.239:80
NET_connect |
222.127.62.* |
254 |
NET_connect |
222.127.*.* |
245 |
NET_connect |
222.127.100.* |
39 |
主机排查:
主机检查
检查注册表项将其删除
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\msinfo_RASAPI32\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\msinfo_RASMANCS\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advance
查找C:\Users\orinsh\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\26CZWWRY\目录下csrs[1].exe,删除。
查找C:\Users\orinsh\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\26CZWWRY\目录下csrs[1].exe,删除。
此类恶意样本多为记录对用户上网习惯推送广告等劫持ie相关行为,因本样本没法正常运行服务启动函数致使样本没法正常执行,只经过静态分析收集相关信息,作初步判断。