formbook商业木马剖析
字数 1136 2025-08-06 18:07:40

FormBook商业木马剖析教学文档

0x01 样本信息

  • 样本名: New order #11042100.exe
  • 大小: 399872 字节
  • MD5: 65823E4CF39C6384599F9C7DE542238F
  • SHA1: 2A15CB6BB5E0DACA960C7D13C7907E183D710AD4

0x02 FormBook概述

FormBook是一种商业恶意软件即服务(MaaS),主要通过钓鱼邮件传播,具有以下特点:

  • 模块化设计
  • 多阶段加载机制
  • 强大的信息窃取能力
  • 持久化机制
  • 反分析技术

0x03 技术分析

3.1 初始加载器分析

  1. 入口点混淆

    • 使用大量垃圾指令和API调用混淆真实功能
    • 动态计算关键函数地址

  2. 解密机制

    • 多层加密(异或、AES等)
    • 关键字符串和配置信息加密存储
    • 运行时动态解密

  3. 反调试技术

    • IsDebuggerPresent检查
    • 时间差检测
    • 硬件断点检测

3.2 核心功能模块

  1. 信息窃取

    • 键盘记录
    • 剪贴板监控
    • 浏览器凭证窃取(支持Chrome、Firefox、Edge等)
    • 屏幕截图
    • 文档窃取(.doc, .pdf, .xls等)

  2. 持久化机制

    • 注册表Run键
    • 计划任务
    • 服务创建
    • 快捷方式修改

  3. C2通信

    • 加密通信(HTTPS/自定义协议)
    • 域名生成算法(DGA)
    • 多C2服务器轮询
    • 心跳机制

3.3 注入技术

  1. 进程注入

    • 使用CreateRemoteThread
    • 反射式DLL注入
    • 进程空洞技术

  2. 代码注入

    • APC注入
    • 窗口消息注入
    • 线程劫持

0x04 检测与防御

4.1 检测指标(IOCs)

  • 文件特征

    • 特定节区名称
    • 资源段加密数据
    • 导入表特征

  • 网络特征

    • 特定User-Agent
    • 固定URI路径
    • 证书指纹

4.2 防御措施

  1. 预防措施

    • 邮件附件过滤
    • 宏安全设置
    • 最小权限原则

  2. 检测措施

    • 行为监控(异常进程创建)
    • 网络流量分析
    • 内存扫描

  3. 响应措施

    • 隔离感染主机
    • 重置凭证
    • 全面系统扫描

0x05 分析工具与方法

  1. 静态分析

    • PEiD/Exeinfo PE识别加壳
    • IDA Pro反汇编
    • Strings提取关键字符串

  2. 动态分析

    • Process Monitor监控行为
    • Wireshark抓包分析
    • x64dbg动态调试

  3. 内存分析

    • Volatility框架
    • Rekall

0x06 样本行为流程图

[初始执行] → [反调试检查] → [解密配置] → [持久化] → [信息收集] → [C2通信]
            ↑____________[环境检查]____________↓

0x07 参考建议

  1. 企业应部署终端检测与响应(EDR)解决方案
  2. 定期进行安全意识培训
  3. 建立完善的应急响应流程
  4. 保持系统和软件更新

附录

  • 完整API调用序列
  • 加密算法伪代码
  • C2通信协议格式
  • 注册表键值详细列表

注意:实际分析时应确保在隔离环境中进行,避免样本扩散造成二次感染。

FormBook商业木马剖析教学文档 0x01 样本信息 样本名 : New order #11042100.exe 大小 : 399872 字节 MD5 : 65823E4CF39C6384599F9C7DE542238F SHA1 : 2A15CB6BB5E0DACA960C7D13C7907E183D710AD4 0x02 FormBook概述 FormBook是一种商业恶意软件即服务(MaaS),主要通过钓鱼邮件传播,具有以下特点: 模块化设计 多阶段加载机制 强大的信息窃取能力 持久化机制 反分析技术 0x03 技术分析 3.1 初始加载器分析 入口点混淆 : 使用大量垃圾指令和API调用混淆真实功能 动态计算关键函数地址 解密机制 : 多层加密(异或、AES等) 关键字符串和配置信息加密存储 运行时动态解密 反调试技术 : IsDebuggerPresent检查 时间差检测 硬件断点检测 3.2 核心功能模块 信息窃取 : 键盘记录 剪贴板监控 浏览器凭证窃取(支持Chrome、Firefox、Edge等) 屏幕截图 文档窃取(.doc, .pdf, .xls等) 持久化机制 : 注册表Run键 计划任务 服务创建 快捷方式修改 C2通信 : 加密通信(HTTPS/自定义协议) 域名生成算法(DGA) 多C2服务器轮询 心跳机制 3.3 注入技术 进程注入 : 使用CreateRemoteThread 反射式DLL注入 进程空洞技术 代码注入 : APC注入 窗口消息注入 线程劫持 0x04 检测与防御 4.1 检测指标(IOCs) 文件特征 : 特定节区名称 资源段加密数据 导入表特征 网络特征 : 特定User-Agent 固定URI路径 证书指纹 4.2 防御措施 预防措施 : 邮件附件过滤 宏安全设置 最小权限原则 检测措施 : 行为监控(异常进程创建) 网络流量分析 内存扫描 响应措施 : 隔离感染主机 重置凭证 全面系统扫描 0x05 分析工具与方法 静态分析 : PEiD/Exeinfo PE识别加壳 IDA Pro反汇编 Strings提取关键字符串 动态分析 : Process Monitor监控行为 Wireshark抓包分析 x64dbg动态调试 内存分析 : Volatility框架 Rekall 0x06 样本行为流程图 0x07 参考建议 企业应部署终端检测与响应(EDR)解决方案 定期进行安全意识培训 建立完善的应急响应流程 保持系统和软件更新 附录 完整API调用序列 加密算法伪代码 C2通信协议格式 注册表键值详细列表 注意:实际分析时应确保在隔离环境中进行,避免样本扩散造成二次感染。