通用威胁样本分析 - WannaMine - 《恶意代码分析》

0x00 前言
0x01 原始样本
0x02 下载回来的样本分析
0x03 Mass KeyLogger
- 沙箱分析

0x00 前言

样本来源于日常app.any.run的样本
样本MD5：71bdecdea1d86dd3e892ca52c534fa13
样本上传名：exe.PDF.bat
样本上传时间，就是今天（2020年9月10日）下午四点十分

可以看到any.run已经将其标记为恶意并且可以从 any.run的沙箱中看到恶意行为是执行了一段powershell指令。

在VT上查了一下样本，惊奇的发现，现在居然只有一家厂商给出了明确的报毒：Downloader.WannaMine

0x01 原始样本

原始样本的确是bat的文件，编辑工具加载后内容如下：

这是一段很简单的bat内嵌powershell代码，通过bat脚本隐藏窗口执行powershell代码，执行的代码为红色部分。

大概阅读一下这段powershell代码就可以知道这里是将前面的@符号替换并进行转换然后通过最后的IEX加载执行。

所以直接把最后面的IEX 更改为echo 然后把这一整段powershell代码抽出来保存到一个ps1文件中：

然后powershell窗口执行这个ps1脚本，通过管道输出到新文件中，解码出来的内容如下：

这段代码首先是通过$Tbone=’EX’.replace(‘‘,’I’)声明了一个名为$Tbone的变量，这个变量实际就是IEX

接着通过sal M $Tbone给变量定义了别名M，可以看到M在程序最后有使用，这是一种免杀操作。

格式化一下代码如下：

代码首先会尝试connection连接google.com保证网络畅通。
当确保网络畅通之后，代码在后面拼接一个对象，用于通过IEX执行一个下载指令，将下载回来的内容存储到变量$mv中，这里的下载链接为: http://topometria.com.cy/A12.jpg

关于topometria，暂时没有相关的威胁情报。

最后，程序将下载回来的数据$mv 以 - 分割，然后作为byte数组加载执行

还好，现在样本能够正常下载回来。

0x02 下载回来的样本分析

下载回来的文件名为A12.jpg，用编辑器打开可以看到是一段以-分割的数据

根据之前的代码操作，可以知道这里会首先将-分割成一个数组，然后转成byte，我们知道最后的数据类型是byte，所以这里直接将- 替换为空格

然后以byte的形式赋值到010中：

这里可以看到，byte解码出来其实是一段脚本代码

通过010转换为文本即可看到源码：

所以这是一个3M多的script文件。

看到这种代码不要怕，观察一下就可以找到关键地方

我们首先看看脚本最开始的地方，首先是执行了$t0=-Join ((111, 105, 130)
这里的111 105 130 解出来就是IEX

所以最开始是同样的操作，给IEX声明了一个别名g用于后面调用。

然后程序声明了一个超级长的String，根据开头的[String]$nebj=’4D5A9>^>^3>^可以知道这里其实是一个PE文件，后面肯定会有操作把这里的特殊符号替换为00

所以跳转到最下面的代码看看：

这里首先可以看到，在刚才声明的长字符串最后，果然通过replace将特殊符号替换为了00

然后可以看到程序执行了一个 [Byte[]]$JJAr=PuKkpsGJ $CDbvWcpeO

这里可以看出来是将$CDbvWcpeO（暂时不知道是什么）作为参数传递给了PuKkpsGJ 函数，PuKkpsGJ 函数运算之后会得到一个数组赋值给$JJAr

搜索找一下PuKkpsGJ 函数：

顺便找到了CDbvWcpeO的定义，这里可以看到，CDbvWcpeO是第二个PE文件。

PuKkpsGJ的功能也很简单，就是对传入进来的内容进行分割和转码。

关于这里处理后的数据之后再看，先看看后面的代码做了什么。

$y=’[System.Ap!%%%%#######@@@@@@@**ain]’.replace(‘!%%%%#######@@@@@@@**‘,’pDom’)|g;$g55=$y.GetMethod(“get_CurrentDomain”)

这类替换之后代码就是：
$y=’[System.AppDomain]’|g;
$g55=$y.GetMethod(“get_CurrentDomain”)

同样的，把下面几行的代码也替换了得到
$uy=’$g55.Invoke($null,$null)’| g
$vmc2=$uy.Load($JJAr)
$vmc2| g

这里很明显，就是最后Invoke load执行$JJAr，而这个$JJAr就是上面通过PuKkpsGJ 处理后的数组。

所以直接写一个ps脚本，把这段数据处理完之后写入到桌面的222.txt文件中即可

最后，程序还会通过
[g8fg0000.gfjhfdgpoerkj]::gihjpdfg(‘InstallUtil.exe’,$nebj2)
解码出第二个PE文件，这里看样子是通过InstallUtil安装，虽然不太看得出来这里是怎么加载起来的，但还是先dump出来后面看看。

计算一下文件hash，分别为：
8A738F0E16C427C9DE68F370B2363230
498EC58566B52AA5875497CADF513547

对应的检出情况如下：

0x03 Mass KeyLogger

498EC58566B52AA5875497CADF513547目前无检出，样本上传之后发现这应该是一个名为Mass KeyLogger的新版本键盘监听器

而且国外的厂家形容这是非常危险的新型木马

样本使用dnspy去混淆之后还是有比较好的可读性的，这里就大概看一下。

此外，dump_file2，也就是这个keylogger的资源中有个四个资源文件，后面可能会解密加载这些资源

首先在dnspy中定位到样本的入口点如下：

样本入口点是内部类xW的实例化函数xW()
在xW函数中，主要是调用了aP类的bx方法。

这里过来可以知道bx方法中调用的是pC4类的Fvq方法：

过来给Fvq方法设置一个断点：

在Fvq方法中，程序首先是加载了上面名为LR4Cc2YdSbtlPu3Gpn.gkaT3RqoEIxDLaxtck的资源数据

然后把资源赋值给了array数组，并在下面循环取解密这个资源数据

最后，程序将数据以键值对的方式存放到Dictionary中然后赋值给Jbgkf0diFn，再下面通过放射加载调用。

由于断点已经设置在了Fvq函数这里，直接程序F5过来
成功读取到元数据

成功解密，重新给array赋值：

成功生成字典：

得到要调用的对应的函数，用委托的方式反射加载

如下：

这里会遍历加载所有用到的函数

直接往后走，读取名为b7XmD97o14L13xFEcR.B1Pe7UrZbjaNUkiGSk的资源

解密一个数据放到array4

这里有一个超长的switch case，干扰分析用的

这个类的代码超级长，肯定不能直接走，但是这里我想，既然它读取了资源放到了array4变量中，后面肯定要操作这个变量的，所以直接对所有操作了aray4这个变量的地方设置断点
这里发现程序将array4的长度new了一个新的byte为array6，所以同样的，对array6所以操作点设置断点：

程序这里在动态解密array6

所以最后只保留一个array6的赋值断点即可

成功命中断点：

此时把array6给dump出来，这里应该是程序用到的所有的字符串信息

往下走，这里result返回回来会有一些用到的关键信息，包括要检测的杀软等：

后面的解密配置信息，包括ftp服务器的地址，账号密码等都是通过这里解密出来

在YWc类的sCo方法中获取一些机密信息并格式化，包括用户名，出口IP、国家信息、操作系统版本、位数、SerialKey、CPU、GPU、AV、Screen Resolution、Current Time、Started、Interval、Process、Melt、Exit after delivery、是否是Administrator、所有运行中的进程名和窗口名（应该是用于反调试检测）

获取到的完整信息如下：
{User Name: xxxxx
IP: 127.0.0.1
Country: CN
Windows OS: Microsoft Windows 7 家庭普通版 64bit
Windows Serial Key: YGFVB-xxxxx-xxxxxx-PTWTJ-YRYRV
CPU: Intel(R) Core(TM) i7-8700 CPU @ 3.20GHz
GPU: VMware SVGA 3D
AV: NA
Screen Resolution: 1920x1080
Current Time: 2020/9/16 12:25:50
Started: 2020/9/16 12:17:21
Interval: 96 hour
Process: C:\Users\Shyt\Desktop\xxxxxxx-cleaned.exe
Melt: false
Exit after delivery: false
As Administrator: False
Processes:
Name:dnSpy-x86, Title:dnSpy v6.0.5 (32-bit, 调试中)
Name:吾爱本地破解工具包, Title:Rolan
}