“A9 Team 甲方攻防团队,成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域,持续分享安全运营和攻防的思考和实践。”
01
—
发现告警
在情报库上查看该ioc相关信息/情报,可以看出这个ioc在2019年就已经出现了
从流量上看进行了多次dns请求,由于已经在DNS服务器上配置了DNS沉洞,故这里看不到解析后的真实IP,但根据前面在情报库上收集到的信息,可以看出发起解析的源地址是又问题的,不妨上机进行排查。
抑制
行为分析
结束进程、删除启动项,将样本、日志打包并删除源文件
沙箱初步分析:
将样本上传至沙箱进行分析,主要行为有网络连接、文件释放、信息收集,未能。
Sysmon日志分析:
发现最早发起的时间是7/9,并且发起来源为一个程序的安装包,其余时间都是由系统的自启动任务运行。
查看这个安装包文件的运行动作路径,只释放了病毒文件并在注册表写入启动项,并无其它动作。结合来看可以发现主要的恶意行为还是由释放的Synaptics.exe执行。
与用户确认这个时间点正在给这台电脑装机,通过U盘拷贝了天擎客户端进行安装,与日志上的行为匹配。
病毒主要行为:
存在desktop、document、APPdata三个目录下文件遍历和可执行程序加载
dns请求
在desktop、document、APPdata、C:\Users\zhangna\AppData\Local\Temp\这四个目录下不断创建.exe .ioc .xlsm格式的文件
这就是日志中大致的过程,但还不足以清楚这个病毒他是怎么进行感染和传播的。
由于已经有很多大佬分析过该病毒,跟着前辈们的思路深入分析一下。
代码使用Delphi7编写。
通过 SHGetSpecialFolderLocation和 SHGetPathFromIDListA来获取要感染的目录(清理工具的编写也会通过这种方式)。病毒会获取Desktop、Downloads和Documents的路径并递归感染子文件。
对于EXE文件,通过LoadLibrary加载到当前进程(病毒是32位的,所以只感染32位的EXE),根据其资源节“EXEVSNX”的情况,来进行对应的操作,这个资源节内的数据代表着版本号。
具体的感染流程是将原文件打包到病毒文件的资源节“EXERESX”中,病毒文件的图标被替换为原文件的图标,最后用病毒文件替换原文件。
当用户运行被掉包的EXE文件时,会释放出资源节"EXERESX"的原文件并运行,通过这样做到无感知运行。原文件会被释放到已 "._cache_"开头的文件中,文件属性被设置为 系统文件和隐藏文件,即使打开“显示隐藏文件的选项”也不会显示,“显示系统文件”的选项一般用户很少会打开。
对于xlsz文件的感染,是通过COM组件完成的,所以只有安装了Excel的机器才会被正确感染(清理工具也是利用COM组件来进行修复xlsx文件的)。病毒文件的资源节"XLSM"包含了恶意宏代码的xlsm文件。
病毒行为总结:
被感染机器的 C:\ProgramData\目录下会有Synaptics目录,其下包含原始的恶意样本,但是图标不固定(图标会更新为最近一次运行被感染exe文件的图标)。Desktop、Documents、Downloads目录下的32位EXE文件和xlsx文件都会被掉包,但是用户并不会有察觉。传播的方式是文件分享给他人时,造成其他计算机的感染。
如何快速进行恢复?
由于该病毒出现有一段时间,从微信、情报库、百度等搜索源中获取该病毒的分析报告,快速了解该病毒的执行逻辑与动作,寻找终端恢复的解决方案。
以下是在其他分析文章中找到的恢复工具:
https://github.com/forTheBest12138/RepairerForXredWorm
