【网络安全】Xred蠕虫再分析及修复工具编写
這個病毒很老了,已經有很多前輩分析過該病毒,跟著前輩們的思路深入分析一下,并編寫一個清理工具。這是我分析的第一個真實環境下的惡意樣本,文中如果有不正確的地方請指正。只需要清理工具的話,直接下滑到
解決方案 一節。
病毒行為總覽
代碼使用Delphi7編寫,后續分析匯編代碼發現有對XP系統和更高版本windows做了兼容處理,在這些系統上都可以正確感染,年代久遠(我還沒用過xp…)。被感染機器的 C:\ProgramData\目錄下會有Synaptics目錄,其下包含原始的惡意樣本,但是圖標不固定(圖標會更新為最近一次運行被感染exe文件的圖標),病毒生成的大部分文件都將其設置為 隱藏文件和系統文件(Exlporer設置顯示隱藏文件和系統文件或命令行下attrib即可看到)。
被感染機器的Desktop、Documents、Downloads目錄下的32位EXE文件和xlsx文件都會被掉包,但是用戶并不會有察覺,導致文件分享給他人時,大范圍感染。
病毒包含很多模塊,下面是一個大體功能圖,其中和網絡連接有關的模塊的IOC都已經失效。
→點擊獲取網絡安全資料·攻略←
2000多本網絡安全系列電子書
網絡安全標準題庫資料
項目源碼
網絡安全基礎入門、Linux、web安全、攻防方面的視頻
網絡安全學習路線圖
蠕蟲模塊分析
通過 SHGetSpecialFolderLocation和
SHGetPathFromIDListA來獲取要感染的目錄(清理工具的編寫也會通過這種方式)。病毒會獲取Desktop、Downloads和Documents的路徑并遞歸感染子文件。
EXE文件感染分析
對于EXE文件,通過LoadLibrary加載到當前進程(病毒是32位的,所以只感染32位的EXE),根據其資源節“EXEVSNX”的情況,來進行對應的操作,這個資源節內的數據代表著版本號。這個病毒是可以進行版本更新的。
具體的感染流程如下,思路很簡單。將原文件打包到病毒文件的資源節“EXERESX”中,病毒文件的圖標被替換為原文件的圖標,最后用病毒文件替換原文件。
當用戶運行被掉包的EXE文件時,會釋放出資源節"EXERESX"的原文件并運行,這樣就對用戶來說無感知。
具體的釋放流程如下,原文件會被釋放到已 ".cache"開頭的文件中,文件屬性被設置為 系統文件和隱藏文件,即使打開“顯示隱藏文件的選項”也不會顯示,“顯示系統文件”的選項一般用戶很少會打開。比較有趣的一點是代碼中還會判斷 “.cache"開頭的文件是否也有資源節"EXERESX”。這是一個重復感染的問題,病毒作者考慮到了這一點。分析整個代碼來看,可以發現病毒作者的編程功底很強,很多特殊情況的處理都有考慮到。
XLSX文件感染分析
感染xlsx文件是通過COM組件完成的,所以只有安裝了Excel的機器才會被正確感染(清理工具也是利用COM組件來進行修復xlsx文件的)。
大致的感染流程如下,病毒文件的資源節"XLSM"包含包含了惡意宏代碼的xlsm文件。
中間部分大量調用了COM組件中的函數,這里并沒有去分析。用動態調試跳過了這些函數,從結果來看就是把原來的xlsx中的數據拷貝到包含宏代碼的xlsm文件中。最后替換原了的xlsx文件,并再起目錄下生成一個 "~$chac1"文件(這也是一個感染特征,文件夾下有這個文件說明該路徑下的xlsx文件都被感染為xlsm文件),這個文件的數據就是病毒文件本身,文件屬性也設置了系統文件和隱藏文件。被感染的xlsx文件后綴會變成xlsm,內容和原來一樣。
其它模塊分析
這些模塊有的已經失效了,并沒有太深入的分析。
- 郵件發送: 使用的是Delphi中封裝好的庫,使用郵件服務器是
smtp.gmail.com,賬號密碼是xredline2@gmail.com;xredline3@gmail.com/xredline2x;xredline3x
我用gmail登錄了一下,已經失效了。發送郵件的目的郵箱地址是 xredline1@gmail.com
- 鍵盤記錄,設置消息鉤子,最常用的方式。dll文件在病毒文件資源節"KBHKS"中。(動態調試過程中消息鉤子并沒有設置,出錯原因還有待確認)
- 遠控模塊,功能很少,反彈shell、屏幕截圖、文件上下載…
- 自啟動項,直接操作注冊表,用的是Delphi封裝好的庫(Register),使用很簡單,不贅述。
IOC整理
文件MD5就不貼了,被感染文件一直都是變化的。
解決方案
基于上面的分析,就可以編寫修復工具了。工具使用的也是Delphi編寫的,為了分析這個病毒,稍微了解了一下Delphi,正好Delphi提供了一個很方便使用圖形界面庫。cdj68765 前輩也提供了一個命令行版本的修復工具,是用 c#寫的。對于把xlsm修復為xlsx,前輩使用了Open_XML_SDK進行修復,這種方式更好。我使用的是和惡意代碼一樣的方式(COM組件)進行修復,這是一個取巧的方式,但是因為xlsm中的VBProject被加密了,導致通過COM組件的方式無法讀取到宏代碼進行特征判斷后再修復,這里用到了一個折中的方案進行特征判斷,下面會說明。
代碼和工具下載在這里:https://github.com/forTheBest12138/RepairerForXredWorm
清理效果如下,目前只會掃描 Desktop、Downloads、Documents目錄及其子目錄。如果不在這些目錄下的文件可以手動輸入進行修復,目錄和文件路徑都行。
代碼修復思路說明:
修復XLSX文件,使用COM組件的方式其實就和手動用Excel進行操作是一樣的。所以我的思路是將xlsm"另存為/SaveAs"為xlsx格式,就會直接剔除掉宏代碼,就和手動用Excel將xlsm保存為xlsx的效果是一樣的,對應的代碼就是圖中標號3的地方。有幾個坑點,圖中標號1處的代碼表示打開xlsm文件時是否執行宏代碼,默認為1,即執行,所以一定要設置成3!!!這個選項好像不受宏執行策略的影響。標號2處的代碼是來判斷xlsm的宏代碼中是否有特定的字符串,這樣就可以先進行特征匹配判斷其是否是被感染的xlsm文件,再進行修復,但是因為xlsm文件中的VBProject被加密,無法讀取到宏代碼。所以這部分代碼無法使用,上面提到的折中的方案就是判斷VBProject是否被加密再進行修復。所以特殊情況就是一個正常的xlsm文件有被加密的VBProject就會被誤認為是被感染的文件!如果用Open_XML_SDK的話是可以繞過加密的問題,這樣就可以達到100%的修復準確率。
同時還要設置運行訪問VBA對象模型的注冊表項,否則代碼是無權讀取xlsm的宏代碼的。
感染過程中生成的".cache"前綴文件和“~$cache1"文件也會清理掉。
總結
以上是生活随笔為你收集整理的【网络安全】Xred蠕虫再分析及修复工具编写的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 【网络安全】能在Twitter和Inst
- 下一篇: 一款功能强大,可扩展端到端加密反向She