解析メモ

マルウェア解析してみたり解析に役に立ちそうと思ったことをメモする場所。このサイトはGoogle Analyticsを利用しています。

Panda Banker 解析 (5)

Malware

Panda Banker 解析 (1) - 解析メモ

Panda Banker 解析 (2) - 解析メモ

Panda Banker 解析 (3) - 解析メモ

Panda Banker 解析 (4) - 解析メモ

 

EA付きのペイロードが svchost.exe にコードインジェクションをしている疑惑を解明していく。

IDA Pro でインポートテーブルを見ると、CreateProcessW, WriteProcessMemory, VirtualAllocEX, CreateRemoteThread とプロセスインジェクションに必要な関数が使用されていることが分かる。プロセスインジェクションの理解は下記の記事が参考になる。

www.endgame.com

 

続きを読む

Panda Banker 解析 (4)

Malware

Panda Banker 解析 (1) - 解析メモ

Panda Banker 解析 (2) - 解析メモ

Panda Banker 解析 (3) - 解析メモ

 

監視しているプロセスが分かったので、unpacked 検体を ProcessMonitor で確認する。

前回は Majuro.exe が実行されたところで止めていたが、少し泳がせてみると svchost.exe を 2 つ起動するようだ。

今回は Garapagos.exe だった。(以降、dropped 検体)

 

f:id:k1z3:20180407233537p:plain

 

続きを読む

Panda Banker 解析 (3)

Malware

Panda Banker 解析 (1) - 解析メモ

Panda Banker 解析 (2) - 解析メモ

 

ollyDbg で AccessViolation 以降のデバッグも大丈夫そうなので、解析を続ける。

 

プロセスツリーを見ると、子プロセスを実行すると同時に自プロセスを Terminate している。

自プロセス→アンパック→CreateProcess→unpacked を実行と考えると、子プロセスはアンパック済みのものと予想できる。

とりあえず CreateProcessW でブレイクを待ち構えてみる。

 

続きを読む

GhostMinner 解析 (1)

Malware

blog.minerva-labs.com

 

今日はこの検体。

 

検体自体は PowerShellスクリプトで、定番の Base64エンコードされているスクリプトを実行するタイプ。

 

f:id:k1z3:20180403003958p:plain

WMI64.ps1

 

f:id:k1z3:20180403004140p:plain

Neutrino.ps1

 

それぞれデコードしてみたら意外と長くなった。

デコードはスクリプトの最後の IEX を消せば実行されなくなる(はず)なので消した後に変数の値を確認。

IEX は Invoke-Expression のことかと。

 

f:id:k1z3:20180403011557p:plain

 

長い。。。のんびりソースコード読むか。

Panda Banker 解析 (2)

Malware

昨日(Panda Banker 解析 (1) - 解析メモ)の続き。

 

Access Violation が出るところが気になる。

f:id:k1z3:20180331031530p:plain

赤枠の部分はわざと Exception を起こしているように見える。

xor edx, edx で edx を 0 にしているのに mov ax, [edx] で 参照できなくなった edx を参照しているのだから。

 

続きを読む

Panda Banker 解析 (1)

Malware

www.arbornetworks.com

 

ここで紹介されている検体の解析。

多分 Zeros は Zeus の誤記。

SHA256 : 8db8f6266f6ad9546b2b5386a835baa0cbf5ea5f699f2eb6285ddf401b76ccb7

 

環境:VirtualBox 5.2.8

ゲスト : Windows 7 x64 Pro

 

続きを読む