介绍
Emotet是一种计算机恶意软件程序,最初以银行木马程序的形式开发。目的是访问外部设备并监视敏感的私有数据。众所周知,Emotet会欺骗基本的防病毒程序并将其隐藏。一旦被感染,该恶意软件就会像计算机蠕虫一样传播,并试图渗透到网络中的其他计算机。
样本信息
MD5:589ded5798b2dcf227b56142122a6375
File Type: Win32 EXE
Detection: Trojan:Win32/EmotetCrypt.ARJ!MTB
静态分析
使用Exeinfo查看下是没用通用壳特征的
发现有个挺奇怪的资源rcdata\1E55
使用ida打开通过这些鬼东东还是可以识别是MFC的程序,MFC的程序用户代码一般都在头部,如果有界面的话还是可以使用xspy进行解析找到按钮事件和定时器等的
动态分析
对于MFC程序我一般是在ida里面头部找到用户代码下断点,或者通过xspy来找到按钮的事件来分析函数。这里的话我找到了一段比较感兴趣的用户代码,我们在调试器里面下断点到402f78
这个函数先初始化了变量V7就是我们之前在资源里面看到的值还记得吗?0x1E55==7765
然后在对字符串进行拼接LdrAccessResource LdrAccessResource LdrFindResource_U
并且获取了LdrFindResource_U这个函数地址
下面这块代码就是在调用上面的API寻找资源,然后申请内存空间然后解密
调试到使用LdrFindResource_U加载资源的函数
LdrFindResource_U和LdrAccessResource都是从NTdll中导出的API,LdrFindResource_U会根据资源ID找到相应的资源,如果找到,则返回相应的句柄,后续应该使用LdrAccessResource来使用该句柄。下面就是函数的声明,到这里也基本都知道流程了。
/*
NTSTATUS NTAPI LdrFindResource_U (PVOID BaseAddress, PLDR_RESOURCE_INFO ResourceInfo, ULONG Level, PIMAGE_RESOURCE_DATA_ENTRY *ResourceDataEntry)
NTSTATUS NTAPI LdrAccessResource (IN PVOID BaseAddress, IN PIMAGE_RESOURCE_DATA_ENTRY ResourceDataEntry, OUT PVOID *Resource OPTIONAL, OUT PULONG Size OPTIONAL)
*/
status = LdrFindResource_U(DllHandle, (ULONG_PTR*)&IdPath, 3, &DataEntry);
if (NT_SUCCESS(status)) {
status = LdrAccessResource(DllHandle, DataEntry, (PVOID*)&Data, &SizeOfData);
if (NT_SUCCESS(status)) {
if (DataSize) {
*DataSize = SizeOfData;
}
}
}
这个函数里面就是真正的解密算法,看起来像改的RC4算法,把一个字符串算出一个值来
下面一个函数就在解密资源了
解密之后上面是代码下面是一个PE
在资源解密的开头下断点,这些代码就是个PEloader感兴趣的话可以调试看看,这里就不浪费篇章讲解了
payloder
样本信息
MD5:F24497D3168A8464E4F13AB4E45458E8
File type: Win32 DLL
静态分析
发现是个dll,点进去10004070进去看
又是个PE,开始dump吧,猜个这个dll没有功能就是loader
dump下来的PE还有个可爱的图标
样本信息
MD5: 4434F871965FB050F1E4BA9361562466
File type: Win32 DLL
静态分析
从入口进去,可以发现这个函数像是被平坦化了的。被平坦化了的函数一般使用符号执行来解决比较好吧?(PS:还有其他好的办法请告诉我谢谢)。看到这种情况我还是打算好好的用OD调试+ida看吧,目前从ida这里看不出来啥。
动态分析
先从入口点进入平坦化的函数内部看看 406550
进入后经过一系列比较走到的第一个函数406fb0
406fb0内部有一个函数经过交叉引用发现被调用很多次,但有不是库的,一般可以认为和解密有关,注意看他的模式一般都是mov ecx,xxxxxx 然后再call 406fb0
进入函数内部也确实可以看出ecx做了一些运算
动态调试可以发现是在找dll地址(handle) 0A2CE093Fh这个的值对应的是kerenl32.dll
获取到dll地址后,然后就返回到上个函数可以看到sub_403ED0这个函数也是交叉引用很多的,发现使用了上个函数返回的dll地址,还有一个参数
这个函数内部的功能就是加载dll的函数 4FEE74F4h对应的就是GetPorcessHeap
说了这么多肯定不是为了手动调试,那样太累了还是体力活,而且效果也不咋滴。所以我把这算法给扣了下来
#include <windows.h>
void LibCrc(WCHAR* v2);
void FuncCrc(char* v1);
int main(int argc,char* argv)
{
LibCrc(L"kernel32.dll");
FuncCrc("GetProcessHeap");
}
void LibCrc(WCHAR* v3) {
unsigned int v4;
int v6 = 0;
if (*v3)
{
do
{
v4 = (unsigned __int16)*v3;
if (v4 >= 0x41 && v4 <= 0x5A)
v4 += 32;
++v3;
v6 = (v6 << 16) + (v6 << 6) + v4 - v6;
} while (*v3);
}
void* crc = (void*)(v6 ^ 0x2DB0EF4D);
printf("%X\r\n", crc);
}
void FuncCrc(char* v1) {
char *i;
int v3;
v3 = 0;
for (i = v1; *i; v3 = (v3 << 16) + (v3 << 6) + (char)*(i - 1) - v3)
++i;
printf("%X\r\n", v3 ^ 0xBDB9B51);
}
嘿嘿结果也是对的,之后可以把常用的dll名字和函数名字跑一下出来crc。然后使用脚本对ida脚本对函数进行标注,但是在之前最后把平坦化给去除了。
符号执行去除平坦化
文章参考链接利用符号执行去除控制流平坦化
参考的github链接deflat
符号执行第一步先把得到和ida一样的cfg图
filename=r"D:\code\py\env\flat_control_flow\_01CD0000"
project=angr.Project(filename, load_options={'auto_load_libs': False})
cfg = project.analyses.CFGFast(normalize=True, force_complete_scan=False)
target_function = cfg.functions.get(start_addr)
#转为ida一样的cfg图
supergraph = am_graph.to_supergraph(target_function.transition_graph)
然后分块 寻找序言 ret 主分发器 寻找真实块和nop块
# 寻找序言 ret
prologue_node=None
retn_node_list=[]
for node in supergraph.nodes():
if supergraph.in_degree(node)==0:
prologue_node=node
if supergraph.out_degree(node) == 0 :
retn_node_list.append(node)
#寻找主分发器
main_dispatcher_node_list=[]
main_dispatcher_node_list.append(list(supergraph.successors(prologue_node))[0])
main_dispatcher_node_list.append(list(supergraph.successors(main_dispatcher_node_list[0]))[0])
# 寻找真实块和nop块
def get_relevant_nop_nodes(supergraph, main_dispatcher_node_list, prologue_node, retn_node_list):
relevant_nodes = []
nop_nodes = []
for node in supergraph.nodes():
if supergraph.has_edge(node, main_dispatcher_node_list[0]) and node.size > 8:
relevant_nodes.append(node)
continue
if supergraph.has_edge(node, main_dispatcher_node_list[1]) and node.size > 8:
relevant_nodes.append(node)
continue
if node.addr == prologue_node.addr:
continue
for main_dispatcher_node in main_dispatcher_node_list:
if node.addr == main_dispatcher_node.addr:
continue
for retn_node in retn_node_list:
if node.addr == retn_node.addr:
continue
nop_nodes.append(node)
return relevant_nodes, nop_nodes
进行符号执行把块给关联起来
def symbolic_execution(project, relevant_block_addrs, start_addr, hook_addrs=None, modify_value=None, inspect=False):
def retn_procedure(state):
ip = state.solver.eval(state.regs.ip)
project.unhook(ip)
return
def statement_inspect(state):
expressions = list(
state.scratch.irsb.statements[state.inspect.statement].expressions)
if len(expressions) != 0 and isinstance(expressions[0], pyvex.expr.ITE):
state.scratch.temps[expressions[0].cond.tmp] = modify_value
state.inspect._breakpoints['statement'] = []
if hook_addrs is not None:
skip_length = 4
if project.arch.name in ARCH_X86:
skip_length = 5
for hook_addr in hook_addrs:
project.hook(hook_addr, retn_procedure, length=skip_length)
state = project.factory.blank_state(addr=start_addr, remove_options={
angr.sim_options.LAZY_SOLVES})
if inspect:
state.inspect.b(
'statement', when=angr.state_plugins.inspect.BP_BEFORE, action=statement_inspect)
sm = project.factory.simulation_manager(state)
sm.step()
while len(sm.active) > 0:
for active_state in sm.active:
if active_state.addr in relevant_block_addrs:
return active_state.addr
sm.step()
return None
找到关系后就是patch修复了
总结
这里最后也没有给出标注ida或者OD函数的脚本,还有完整的修复平坦化的脚本。因为这些东西都不是通用的,给出了没有太大的意义(PS:其实是自己不想整了)。有兴趣的可以继续整下去。