一次红队恶意程序分析溯源
字数 1193 2025-08-22 12:23:18

恶意程序分析溯源教学文档

一、恶意程序概述

该恶意程序通过伪装成二维码图片诱导用户双击执行,具有持久化、反调试、DLL劫持等多种恶意行为特征,最终连接远程C2服务器实现远控功能。

二、恶意行为分析

1. 持久化机制

注册表修改行为:

  • 修改HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
    • Userinit是Windows登录流程关键部分,指定登录后执行的程序
    • 恶意程序通过修改此键值实现开机自启动
  • 修改HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • 添加到当前用户启动项,实现双重持久化

API调用:

  • 使用RegOpenKeyW函数操作注册表
  • 目标注册表键包括HKEY_USERS、HKEY_CURRENT_USER和HKEY_LOCAL_MACHINE

2. 反调试技术

线程优先级调整:

  • 程序会调整自身线程优先级
  • 动态调试环境下线程优先级可能被修改
  • 设置过高优先级可能触发退出逻辑,干扰调试过程

代码混淆:

  • 大量使用位操作、移位、减法等运算
  • 目的:避免静态分析直接理解数据逻辑
  • 增加逆向工程难度

无限循环:

  • 在检测到调试环境时可能进入无限循环
  • 阻碍分析人员动态跟踪程序执行流程

3. DLL劫持攻击

白+黑技术:

  • 加载非系统路径中的twain_32.dll
  • 利用Windows DLL搜索顺序漏洞
  • 将恶意DLL放置在程序目录中优先于系统目录加载

三、网络行为分析

C2服务器信息:

  • 远控网站:http://ww12.gatyhub.com
  • IP地址:13.248.148.254

分析建议:

  1. 在线网站无法分析网络流量时,使用Wireshark进行抓包分析
  2. 重点关注与C2服务器的通信协议和内容
  3. 分析可能的命令控制指令和数据回传内容

四、样本信息

文件哈希:

  • MD5: ef8e448d10ad0bd7e148f0115a192aa8

五、分析技巧总结

  1. 动态调试技巧:

    • 注意线程优先级变化对调试的影响
    • 准备绕过反调试的工具和方法

  2. 静态分析技巧:

    • 对混淆代码进行逐步解析
    • 重点关注注册表操作和网络相关API

  3. 行为监控:

    • 使用Process Monitor监控注册表、文件系统活动
    • 使用Wireshark监控网络流量

  4. 持久化检测:

    • 定期检查系统关键注册表键值
    • 检查用户启动项和系统启动项

六、防护建议

  1. 用户教育:

    • 不要轻易打开伪装成图片的可执行文件
    • 注意文件扩展名,警惕双重扩展名文件

  2. 系统防护:

    • 监控关键注册表键值的修改
    • 限制非系统目录DLL的加载

  3. 网络防护:

    • 拦截已知恶意IP和域名
    • 监控异常外联行为

  4. 样本分析:

    • 对可疑文件进行哈希比对
    • 在沙箱环境中运行未知程序
恶意程序分析溯源教学文档 一、恶意程序概述 该恶意程序通过伪装成二维码图片诱导用户双击执行,具有持久化、反调试、DLL劫持等多种恶意行为特征,最终连接远程C2服务器实现远控功能。 二、恶意行为分析 1. 持久化机制 注册表修改行为: 修改 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit Userinit是Windows登录流程关键部分,指定登录后执行的程序 恶意程序通过修改此键值实现开机自启动 修改 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 添加到当前用户启动项,实现双重持久化 API调用: 使用 RegOpenKeyW 函数操作注册表 目标注册表键包括HKEY_ USERS、HKEY_ CURRENT_ USER和HKEY_ LOCAL_ MACHINE 2. 反调试技术 线程优先级调整: 程序会调整自身线程优先级 动态调试环境下线程优先级可能被修改 设置过高优先级可能触发退出逻辑,干扰调试过程 代码混淆: 大量使用位操作、移位、减法等运算 目的:避免静态分析直接理解数据逻辑 增加逆向工程难度 无限循环: 在检测到调试环境时可能进入无限循环 阻碍分析人员动态跟踪程序执行流程 3. DLL劫持攻击 白+黑技术: 加载非系统路径中的 twain_32.dll 利用Windows DLL搜索顺序漏洞 将恶意DLL放置在程序目录中优先于系统目录加载 三、网络行为分析 C2服务器信息: 远控网站: http://ww12.gatyhub.com IP地址: 13.248.148.254 分析建议: 在线网站无法分析网络流量时,使用Wireshark进行抓包分析 重点关注与C2服务器的通信协议和内容 分析可能的命令控制指令和数据回传内容 四、样本信息 文件哈希: MD5: ef8e448d10ad0bd7e148f0115a192aa8 五、分析技巧总结 动态调试技巧: 注意线程优先级变化对调试的影响 准备绕过反调试的工具和方法 静态分析技巧: 对混淆代码进行逐步解析 重点关注注册表操作和网络相关API 行为监控: 使用Process Monitor监控注册表、文件系统活动 使用Wireshark监控网络流量 持久化检测: 定期检查系统关键注册表键值 检查用户启动项和系统启动项 六、防护建议 用户教育: 不要轻易打开伪装成图片的可执行文件 注意文件扩展名,警惕双重扩展名文件 系统防护: 监控关键注册表键值的修改 限制非系统目录DLL的加载 网络防护: 拦截已知恶意IP和域名 监控异常外联行为 样本分析: 对可疑文件进行哈希比对 在沙箱环境中运行未知程序