Redaman銀行木馬分析報告

對Redaman銀行木馬進行了詳細分析

一、樣本簡介

Redaman是一款著名的銀行木馬,該惡意軟件最初于2015年被發現,最初被稱為RTM銀行木馬,Redaman的目標是竊取銀行憑證和其他數據,用于傳播Redaman的垃圾郵件具有文件附件,這些文件附件是偽裝成PDF文檔的Windows可執行文件,或者以.zip,7-zip,.rar或.gz,gzip存檔的形式發送,俄羅斯接受者是目前的主要焦點, 然而美國、荷蘭、瑞典、日本、哈薩克斯坦、芬蘭、德國、奧地利和西班牙的個人也成為攻擊目標,筆者針對去年十月份的一款Redaman銀行木馬樣本進行詳細分析。 

二、詳細分析

1.樣本圖片偽裝成PDF文檔,如下所示:

圖片1.png

2.創建互斥變量,防止程序多次運行,如下所示:

圖片2.png

3.Redaman樣本使用了病毒自注入式外殼技術,動態調試先解密出相應的Payload,如下所示:

圖片3.png

4.然后通過自注入技術注入代碼,再跳轉到注入的代碼,如下所示:

圖片4.png

5.解密出來的Payload代碼,如下所示:

圖片5.png

6.異或解密0×00403000處的數據,如下所示:

圖片6.png

需要解密的數據,如下所示:

圖片7.png

7.通過RtlDecompressBuffer再次解密之前的數據,如下所示:

圖片8.png

解密完成之后,得到Payload2(DLL)如下所示:

圖片9.png8.在Temp目錄下生成隨機名tmp文件,文件屬性為:系統隱藏,如下所示:

圖片10.png

然后將之前解密出來的Payload2的數據寫入到tmp文件中,如下所示:

圖片11.png

9.通過LoadLibraryW加載Payload2,如下所示:

圖片12.pngPayload2的代碼,如下所示:

圖片13.png

10.檢測進程信息,如果為以下進程信息,如下所示:

t.exe、myapp.exe、self.exe

如果進程包含上述進程,則觸發相應的異常退出程序,如下所示:

圖片14.png

11.沙箱運行環境文件檢測,檢測主機上以下目錄或文件(C盤或D盤),如下所示:

C:\cuckoo、D:\cuckoo

C:\fake_drive、D:\fake_drive

C:\strawberry、D:\strawberry

C:\tsl、D:\tsl

C:\targets.xls、D:\targets.xls

C:\prel、D:\prel

C:\wget.exe、D:\wget.exe

C:\*python*、D:\*python*

如果存在上述任何文件或目錄,則觸發相應的異常退出程序,如下所示:

圖片15.png觸發異常的代碼,如下所示:

圖片16.png

異常觸發之后,退出程序,如下所示:

圖片17.png

12.沙箱運行環境進程檢測,遍歷進程,檢測主機上相關進程,如下所示:

圖片18.png如果主機上存在vboxservice.exe和python.exe兩個進程,則觸發異常,退出程序,如下所示:

圖片19.png比較進程的操作,如下所示:

圖片20.png12.通過Payload2的導出函數DllGetClassObject調用host 000000000000參數執行,如下所示:

圖片21.png13.獲取事件對象句柄,如下所示:

圖片22.png如果獲取失敗,則創建相應的進程句柄,如下所示:

圖片23.png14.獲取當前運行進程權限,如下所示:

圖片24.png15.在C:\ProgramData目錄下創建一個隨機命令的文件夾,如下所示:

圖片25.png然后將DLL隨機命令拷貝到該文件夾下,如下所示:

圖片26.png拷貝的相應的文件目錄,如下所示:

圖片27.png創建windows計劃任務啟動項,進行持久化操作,如下所示:

圖片28.png創建的計劃任務,如下所示:

圖片29.png執行計劃任務之后,如下所示:

圖片30.png16.設置應用層事件鉤子,監控瀏覽器活動,如下所示:

圖片31.png相應的事件函數,如下所示:

圖片32.png17.獲取剪貼板的數據,如下所示:

圖片33.png18.捕獲Windows桌面的屏幕截圖,如下所示:

圖片34.png19.通過DDE進行數據傳輸,下載等,如下所示:

圖片35.png20.遍歷主機,收集相關的數據文件,如下所示:

圖片36.png21.進程提權,如下所示:

圖片37.png關閉主機,如下所示:

圖片38.png22.捕獲到的數據流量,如下所示:

圖片39.png

圖片40.png

三、總結

根據筆者近期的觀察,銀行木馬家族一直都非?;钴S,包括:Emotet、TrickBot、Ursnif(Gozi)、Redaman、Osiris、Pegasus、Panda等家族,筆者之前已詳細分析過Emotet、TrickBot、Ursnif等銀行木馬,可以在網上搜索到相應的分析文章,不同的銀行木馬使用的惡意代碼技術都不同,銀行木類木馬主要針對一些大型的金融或銀行企業進行定點攻擊,攻擊的方式大多數以郵件附件的形式進行傳播,請金融行業的各大企業做好相應的防范準備工作,銀行木馬一般都比較復雜,分析起來較為費時,筆者分析的樣本是去年十月份的一個樣本,有興趣的讀者可以自行下載樣本進行分析研究,樣本從https://www.malware-traffic-analysis.net/  網站下載的,鏈接:https://www.malware-traffic-analysis.net/2018/10/02/index.html

四、相關IOC

MD5:

AAF09EFE05112B58BF441526F8E510BC

IP:

104.24.106.23

5.135.183.146

91.92.136.133

185.141.61.246

1

取消
Loading...

填寫個人信息

姓名
電話
郵箱
公司
行業
職位
css.php jizzz