作者论坛账号：Assassin_

一个botnet的样本分析

前言

样本涉及的网络结构和设计模式比较陌生。对于我来说值得一看，可能有些地方理解不准确请海涵轻锤，但是深入研究，会发现这个样本越看越有意思，并且会有不少收获。

环境与工具

win 7 64位、IDA 7.0、exeinfo、OD

分析

其样本整体行为如下，中间有涉及hook和隐藏自身模块等操作还是可以学习的，其中隐藏模块自己实现了一下，但样本本身最有意思的地方还是网络通信。

静态分析

样本基本信息

文件名称：crashreporter.exe

MD5：41a867c465464efa23b2451ae1367396

SHA256：6c362198a8879579c074ee8b0b14e712e059ff7f6037305e26f6d9ed47c6d39b

大小：116.00 KB

类型：Win32 EXE

作用(下载/释放)：释放执行

打包/编译语言：Microsoft Visual C++ ver. 8.0 / Visual Studio 2005 [ Debug:02 ]

编译/保存日期：2015:05:20 12:48:00+01:00

pdb：C:\cc694wkw\x\4wiefw4\bv7mmx\67nqxrcs\g\e0q09q\2qnp\p4gxr\l9e7\xl4n6aq.pdb

静态拖入IDA，发现代码加密

查壳，发现无壳，不过代码应该还是被压缩了

动态分析

首先利用rdtsc进行反调试

调用VirtualProtectEx修改内存属性

代码解密

利用jmp指令跳转到解密代码

利用fs:[30]获取指定模块基址，通过获取Loadlibrary和Getprocaddress，然后利用GetProcAddress获取指定API

申请空间，并拷贝相应数据到该空间

申请空间并解压数据

解压之后发现该段数据为一个PE文件

接下来就是样本自身编写的一个PE Loader

修改自身PE内存属性，并将解密后的PE拷贝到原PE内存

重定位

获取API

修复内存属性

最后跳转到修改后的PE入口点

我们将其dump下来，此时就是恶意软件的本体了，对其进行分析

首先判断是否存在参数 /pid

对 ZwQueryVirtualMemory 进行Hook

我们查看该段代码

对其进行分析可以发现该段代码是对付沙箱的内存扫描，调用该函数会返回一段虚假的内存以欺骗沙箱

返回来，继续分析，通过申请空间，拷贝映像，并利用UnmapViewOfFile释放之前的映射的本体内存,这里可以自己写代码实现

发现找不到自身模块了

我们自己把代码抠出来，以后可以自己用

设置Token

解密字符串并拼接

与当前目录进行比较，若存在指定目录则直接返回，否则，继续执行

查看当前是否位admin用户，如果不是则创建两个线程

这两个线程执行以下操作

线程1 :

以admin用户进行启动

线程2:

虚拟键盘输入空格

根据时间创建目录，并再次拷贝文件到该目录

创建名为syshost的服务，如果存在该服务，则先删除该服务，然后再次创建

尝试开启服务，如果开启失败，则不在利用服务进行自启动，而是通过注册表进行自启动

移动源文件到临时目录

最后清理文件，结束该进程

我们可以看到该进程再驻留时存在两种启动方式，一种是加参数 \service的服务启动，还有一种是直接注册表不加参数再指定目录直接启动的方式，二者无论以什么方式启动，其最终的行为是类似的。

我们首先分析直接启动的方式，经过之前的分析，我们定位到比较指定目录的地方，即上文中的下图，我们可以看到此时该函数直接返回

返回之后执行如下代码

我们没有参数，所以执行的是函数 00405BAC这个函数

进入该函数，首先判断进程类型

设置安全级别到最低，并且创建事件。其事件名分别为之前的解密字符串 Global/NitrGB 和 Local_NitrGB

设置错误处理函数，查看异常所在线程及其原因

之后遍历进程，排除自身对其他进程进行代码注入

注入采用CreateRemoteThread的方式

利用特殊指令检查虚拟机

更改并设置防火墙规则

解密内置域名

解密内置ip，总共有32个

获取卷GUID

根据卷GUID查询相关注册表

解码样本内置数据并利用WinAPI进行加密

将加密后的数据写入临时文件中

并复制其数据到注册表中

利用p2p进行网络连接

首先获取随机端口

进入主函数

开放tcp和udp的随机端口，并创建一个线程

[b]进入该线程，该线程功能为通过发送请求到其他bot，解析接收到的内容并更新自己的bot list或者C2或者ip list 或者发送内容到bot list中的任意bot,默认每5S发送一次，这段代码要好好看一下，如果能够理解，真的挺有意思的。

之后设置注册表，其值为随机端口进行加密后的值

其后再次查询并设置一系列注册表

开始进行网络连接, 利用C2进行数据的更新和恶意软件的分发

利用facebook.com和microsoft.com进行网络测试

创建4个线程

并4个线程中获取随机的域名迷惑分析者并通过对其进行DNS查询，将可以查询到的ip数据保存在一个列表中

对DNS查询的ip与之前获取facebook.com和microsoft.com的信息进行对比，确保不等于这两个ip的地址

然后连接硬编码域名,进行数据传输，获取当前精确时间

完成之后开始真正的C2连接

首先第一种就是硬编码的域名进行连接

第二种方式就是利用硬编码的Ip进行连接

如果C2连接成功之后，减慢bot之间的连接，变为每60S请求一次

如果以上两种连接不成功则加快bot之间的通信变为每一秒请求一次，利用第三种方法继续尝试C2的连接.

第三种方式，分为两部分拼接域名

第一部分

第二部分，获取后缀

最后进行数据的传输与交互

返回数据需要解密等复杂操作，故根据之前的分析，对其只能静态分析，不过我们可以看到后续的部分操作

如更新Botlist

代码执行

创建驱动文件等操作

结语

路漫漫其修远兮，吾将上下而求索。

原帖地址：https://www.52pojie.cn/thread-1235576-1-1.html