rtf恶意样本静态分析

enter description here

1.起源

前几天一位推友发布推文一个恶意样本弹框 大概意思是不能在any run 沙箱中运行

2

结果推友当时就在any run 沙箱上传运行。也是比较有意思的样本

1

2.样本分析

既然这么搞笑,就我们一起来分析这个恶意样本吧

本文从静态的角度分析样本。

首先我们考虑使用010编辑器查看,结果发现为rtf的文件

20201-01-29-18

那么我们这里使用oletools 套件中个的rtfobj查看,结果发现它中包含vbs文件

20201-01-29-5

那么我们对其进行dump下来vbs文件

3

3.VBS混淆

下面我们来分析vbs的内容,由于代码过于冗长,不便截图,我这里就挑重点讲。

下图我们可以看到vbs代码中一个红框包含了字符串的内容为powershell,第二个红框也是为powershell的代码,其中vbs对其进行拼接、替换字符串、以及字符串倒序。

4

那么我们重新整理vbs的代码对其进行输出到控制台

20201-01-29-6

这里我们调用cscript 执行我们重新整理好的vbs,结果完整的powershell代码就输出出来了。

5

4.powershell混淆(一)

我们可以看到该powershell的内容为混淆,但是我们可以对其进行解码混淆就是,去掉最后面的 I’E’X字符串

20201-01-29-8

那么我们重新整理之后的代码为下图输出后的内容

20201-01-29-19

下面我们来分析解码混淆后的代码,第一行代码为字符串拼接,为第一个红框注释的内容,为bypass asmi,第二个红框为下载执行base64加密的文件

20201-01-29-9

下图为base64的文件

20201-01-29-10

5.powershell混淆(二)

我们对其进行解码后,为下图代码

20201-01-29-11

由于代码过于冗长我们挑几个重点讲解,我们看到下图中的红框1f,8b开头的数据 为gzip

20201-01-29-12

而下图 4d,5a开头的数据为我们熟悉PE文件

20201-01-29-13

下图为分离后的文件

20201-01-29-14

同时我们也对其进行解压,发现解压后的文件也是exe/dll文件

20201-01-29-15

下图为在010编辑器中的内容

20201-01-29-16

下图为在powershell中我们第二个红框的pe文件

20201-01-29-17

所以最终的文件为,一个c#编写的dll,和一个exe文件

20201-01-29-21

20201-01-29-22

我没有对其进行下一步的分析,因为也超出本文的含义分析范畴。大体可以猜测为后门文件。

20201-01-29-23

最后在powershell的代码中我们,调用control.exe运行第二个exe,为bypass applocker的行为方式。

20201-01-29-20

总体来说该powershell代码具体的内容如下:

1.bypass asmi

2.下载解码执行base64文件

3.解码后释放两个后门文件

4.bypass applocker

6.IOC

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34

MALWARE INFO

- MD5: a649a8b1d9cb4bef0acadabc2b1fa864
- File name: invoice.doc
- File description: rtf

- MD5: 00fa1544790efd966a7b3e74922e3ded
- File location: C:\\fakepath\\Client.vbs
- File name: Client.vbs
- File description: vbs混淆包含powershell代码


- MD5: d72dd093179e5d87ff7b78e34be5356e
- File name: fine_base64.jpg
- File location:http://108.61.166.11/m/fine.jpg
- File description: base64加密的powershell代码

- MD5: 5bc66dba582e2f787ba8a154ba731123
- File name: MALWARE.gz
- File description: gzip压缩包包含MALWARE.DLL

- MD5: 9f0fd70fad2d371b74dab910e3f4ff92
- File name: msbuild.DLL

- MD5: 10ae54ef15948d730a7f73813a228adf
- File name: MALWARE.exe
- File description: jpg文件释放

Connections
IP 108.61.166.11

HTTP/HTTPS 请求
URL http://108.61.166.11/m/fine.jpg

链接:

https://app.any.run/tasks/9f3895b5-6ae1-4ac1-b829-b50202985e3d/