WannaCry勒索软件分析

2017-5-14 Nie.Meining Debug

大家都知道,昨天WannaCry勒索软件在一夜之间利用系统漏洞席卷全球,特别是在内网和专网中,通过攻击445端口(蠕虫性质)大肆传播,造成了巨大数据损失。我也凑个热闹,找到一批样本上传金刚分析系统(http://tcasoft.com/),看看效果。

其中比较典型的分为两类,一类就是昨天大家新闻中看到的,访问某个超长的域名,如果存在就放弃攻击。如图:

2.png

1.png

其实这个“域名开关”并不完全可以保平安。还有一类样本一上来就搞破坏,并不会探测域名。如某样本的分析报告:

http://tcasoft.com/tcaCloudPlatform/report/toViewReport.action?rid=22bfa9109ab9d405af4188867620c730&sk=60036875

下面对该报告简单解读。

阅读全文>>

评论(3006) 浏览(208757)

chm文件执行任意代码

2014-11-19 Nie.Meining Debug

从网上下载了一个chm的样本,该样本运行后会自动打开计算器calc.exe。上传分析平台可以清楚看到样本行为:

 0.png

(详细结果链接:http://tcasoft.com/tcaCloudPlatform/report/toViewReport.action?id=58

阅读全文>>

评论(3) 浏览(10931)

CVE-2014-4114 变种样本分析

2014-10-27 Nie.Meining Debug

找到了一个 CVE-2014-4114 的变种样本,该样本内嵌恶意代码,可以直接本地触发执行,不需要再从远程共享服务器下载恶意代码。用UltraEdit打开样本可以找到内嵌的PE模块信息:

ue.jpg

将样本上传分析平台,并选择win7系统作为镜像展开分析,得到样本的行为关系图如下:

阅读全文>>

评论(2) 浏览(21940)

CVE-2014-4114样本分析

2014-10-17 Nie.Meining Debug

分析了一下这两天比较火的CVE-2014-4114,样本上传后分析平台立刻报警:

CVE-2014-4114_0.jpg

奇怪的是捕获到了异常代码,却没有发现后续行为,上网查了查漏洞描述,发现该漏洞应该是个逻辑漏洞,攻击成功的话很有可能不会出现异常代码。接着整理了一下后台分析数据,发现该异常来自某个OGL.DLL中的某处循环赋值:

CVE-2014-4114_1.jpg

阅读全文>>

评论(1) 浏览(21727)

三个nop的玄机

2014-2-10 Nie.Meining Debug

最近百度卫士宣传力度挺大,春节在家闲来无事下载了一个看看。第一印象感觉界面简约,功能干净不臃肿,是我喜欢的风格。首先在x86环境下看看hook点:

1.png

跟360、金山卫士、QQ管家等其它主动防御一样,hook点选择了系统调用的分发函数KiSystemServiceRepeat。而且hook方式跟QQ管家很像,将mov edi, esp; cmp esi, xxx; 这两条指令替换成了三个nop和一个jmp,但是他们之间的区别是,QQ管家是先nop再jmp,百度卫士是先jmp再nop。其实这个顺序是有玄机的!(以前逆向过QQ管家,感谢sysnap大牛点拨)

阅读全文>>

评论(758) 浏览(289579)

Powered by emlog