行业动态

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
利用 Windows 垫片机制进行提权的 Dridex v3 银行木马分析
2022-08-15 14:46:35 【

Dridex 是目前活跃的技术最先进的银行木马之一。该恶意软件的主要目标是从受害者那里窃取银行凭证。Dridex 自 2014 年以来一直存在,并在持续不断的更新,这些更新帮助该恶意软件进化并变得越来越强大。


样本信息:

MD5107a3bef0da9ab2b42e3e0f9f843093b
SHA1fc5d6fc2cbb1d95864f5ed26b50e4ebe68333eab


样本概述:

该样本外层是一个 loader,最终的 payload 是一个 Dridex 木马。


运行流程:


详细分析:

1,解密并展开自身携带的 payload (PE1.exe) 与 shellcode。

执行 shellcode,shellcode 及是自身的 sub_1016DB0 函数。

2,shellcode 将当前进程映像替换为 PE1.exe。

首先修改当前进程映像基址处的内存属性,然后使用展开后的 PE1.exe 进行替换。

3,PE1.exe 即是 Dridex 木马,其使用的 API 的名称和字符串均被加密并分块存储,在使用时通过索引与解密函数动态获取,且 API 在第一次调用时获取地址并存储在地址列表中。

函数名存储位置,例:

字符串存储位置,例:

解密方式相同均为与 key 按字节异或,解密后即可获得函数名与字符串信息。

例:

函数地址获取。

4,PE1.exe 运行后首先获得操作系统版本和用户权限信息。

获得用户权限信息。

5,如果权限低于 SECURITY_MANDATORY_HIGH_RID 且系统版本高于 Windows Vista 则利用 Windows 垫片机制和白名单进程进行权限提升。

进行提权时首先在 %LOCALAPPDATA% 目录或者 %LOCALAPPDATA%Low 目录写入自身的微修改副本 edg.*\.exe。

修改位置为 IMAGE_NT_HEADERS + 8 。

然后在 %LOCALAPPDATA%Low 目录释放垫片数据库文件 .*\.sdb 和 .*\.bat 文件。

使用 python-sdb 解析 .*\.sdb 文件得到的内容如下:

.*\.bat 文件内容如下:

然后运行 sdbinst.exe 注册 %LOCALAPPDATA%Low\.*\.sdb 文件。

注册完成后可在 ”卸载或更改程序” 中看到已注册的垫片名称。

最后运行 iscsicli.exe 成功执行了 %LOCALAPPDATA%Low\.*\.bat 文件,完成提权。

完整进程树:

在提权之前会先创建一个线程用于显示可能会出现的安全桌面。

6,检测用户是否安装 ESET 和 AVG 防病毒软件,如果安装则删除其更新目录 (updfiles) 和其中的文件。

检测方式是通过访问以下注册表。

HKEY_LOCAL_MACHINE/SOFTWARE/ESET/ESET Security/CurrentVersion/Info

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/services/Avg/SystemValues

其中在清空 ESET 防病毒软件更新目录中的文件后会在其中创建 upd.ver 和 lastupd.ver 目录,目的可能是防止用户修复该软件。

7,查找并解密 .sdata 节,获得配置信息。

解密后的配置信息如下,可见其中包括 botnet id、服务器地址列表。

8,获得主机信息、生成用户 ID、与配置信息 server_list 标签中的 C2 通信。

收集的信息包括主机名、操作系统版本,以安装软件的信息,按如下格式组织。

用户 ID 由主机名、用户名及其 hash 组成,格式为 [主机名]_hash。

已安装软件信息在以下注册表处获得。

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Uninstall

9,与 C2 通信成功后从 C2 下载后续模块到本地执行。

数据标签判断,如果是相应标签则将内容写入当前文件夹的临时文件中。

使用 rundll32.exe 加载运行相应模块。

】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇勒索软件攻击呈上升趋势,因此请.. 下一篇网络安全需要了解什么?

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:010-56157787 ,010-56159998
企业QQ:4000043998
技术支持:010-56159998
E-Mail:800@fangyuba.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:4000043998 01056155355
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800