带宏的恶意样本分析
字数 2314 2025-08-06 23:10:24

带宏的恶意样本分析技术文档

1. 样本概述

本恶意样本是一个包含恶意宏代码的文档,通过宏代码释放并执行恶意程序wardhmrias.exe,该程序具有多种远程控制功能。

2. 网络行为

  • C2服务器IP: 122.216.201.108
  • 通信方式: 通过Socket连接远程服务器

3. 持久化机制

恶意样本通过以下方式实现持久化:

  • 将自身写入注册表键值: SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
  • 在Form1_FormClosing函数中检查并重新创建wardhmrias.exe

4. 宏代码分析

4.1 主要函数

  1. Auto_Open():

    • 自动执行的主函数
    • 调用useraddeeLoadr和open_pp两个子过程

  2. useraddeeLoadr():

    • 生成文件释放路径
    • 根据操作系统版本向Zip文件写入不同数据
    • 解压Zip文件并执行其中内容

  3. Unaddeeip():

    • 将Zip中的文件复制出来完成解压操作

  4. open_pp():

    • 打开PPT文件作为诱饵

4.2 释放流程

  1. 生成释放路径
  2. 写入特定数据到Zip文件
  3. 解压Zip文件
  4. 执行释放的wardhmrias.exe

5. wardhmrias.exe分析

5.1 程序特性

  • 使用C#编写的WinForm程序
  • 窗体初始化为不可见状态
  • 通过计时器回调函数执行连接C2的操作

5.2 主要功能函数

  1. Form1_FormClosing:

    • 检查wardhmrias.exe是否存在,不存在则创建
    • 写入注册表实现自启动

  2. Form1_Load:

    • 设置窗体不可见

  3. wardhmriasdo_stadrt:

    • 数据初始化
    • 设置计时器

  4. wardhmriasIPSrFI:

    • 创建socket连接远程服务器

  5. wardhmriassee_spyo:

    • 循环接收主控端命令并执行相应操作

5.3 远控功能详解

恶意程序实现了完善的远程控制功能集,通过命令字典执行不同操作:

命令 功能编号 功能描述
wardhmrias-puatsrt 1 写入注册表实现持久化
wardhmrias-gedatavs 3 遍历进程并发送进程信息
wardhmrias-thdaumb 5 获取指定路径的图像文件信息
wardhmrias-praocl 7 遍历进程
wardhmrias-fialsz 9 获取指定路径的文件信息
wardhmrias-dodawf 11 读取数据并写入指定文件
wardhmrias-enadpo 13 结束指定进程
wardhmrias-scarsz 17 设置屏幕捕获参数
wardhmrias-diars 19 获取驱动信息
wardhmrias-staops 21 设置标志位
wardhmrias-csdacreen 23 捕获屏幕
wardhmrias-cnals 25 设置标志位
wardhmrias-doawr 27 同11(读数据写入文件)
wardhmrias-scaren 29 创建线程捕获屏幕
wardhmrias-fladr 31 遍历指定路径的子目录
wardhmrias-udalt 33 读取数据写入debdrivca.exe并执行
wardhmrias-inafo 35 获取用户相关信息
wardhmrias-ruanf 37 启动指定进程
wardhmrias-fiale 39 获取指定文件内容
wardhmrias-dealt 41 删除文件
wardhmrias-flaes 43 获取指定路径下的文件
wardhmrias-afaile 45 获取指定文件内容及信息
wardhmrias-liastf 47 获取指定扩展名的文件

5.4 数据发送机制

恶意程序通过NetworkStream与C2服务器通信:

  1. 获取NetworkStream
  2. 读取主控端发送的命令
  3. 执行相应操作
  4. 通过专用函数发送数据回服务器

6. 检测与防御建议

6.1 检测指标

  • 文件特征:

    • wardhmrias.exe
    • debdrivca.exe

  • 注册表项:

    • SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  • 网络通信:

    • 122.216.201.108

6.2 防御措施

  1. 禁用Office宏或设置为仅允许受信任来源的宏运行
  2. 监控可疑的注册表修改行为
  3. 阻止与已知C2服务器IP的通信
  4. 部署能够检测C#恶意程序的行为分析工具
  5. 监控可疑的进程创建和文件释放行为

7. 分析工具建议

  • 静态分析:

    • dnSpy (用于C#程序分析)
    • olevba (用于宏代码分析)

  • 动态分析:

    • Process Monitor
    • Wireshark
    • API Monitor

8. 总结

该恶意样本通过宏代码释放具有多种远程控制功能的恶意程序,采用持久化技术确保长期驻留,并通过完善的命令集实现对受感染主机的全面控制。防御此类攻击需要多层防护策略,特别是对Office宏的严格管控和对可疑网络行为的监控。

带宏的恶意样本分析技术文档 1. 样本概述 本恶意样本是一个包含恶意宏代码的文档,通过宏代码释放并执行恶意程序wardhmrias.exe,该程序具有多种远程控制功能。 2. 网络行为 C2服务器IP: 122.216.201.108 通信方式: 通过Socket连接远程服务器 3. 持久化机制 恶意样本通过以下方式实现持久化: 将自身写入注册表键值: SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 在Form1_ FormClosing函数中检查并重新创建wardhmrias.exe 4. 宏代码分析 4.1 主要函数 Auto_ Open() : 自动执行的主函数 调用useraddeeLoadr和open_ pp两个子过程 useraddeeLoadr() : 生成文件释放路径 根据操作系统版本向Zip文件写入不同数据 解压Zip文件并执行其中内容 Unaddeeip() : 将Zip中的文件复制出来完成解压操作 open_ pp() : 打开PPT文件作为诱饵 4.2 释放流程 生成释放路径 写入特定数据到Zip文件 解压Zip文件 执行释放的wardhmrias.exe 5. wardhmrias.exe分析 5.1 程序特性 使用C#编写的WinForm程序 窗体初始化为不可见状态 通过计时器回调函数执行连接C2的操作 5.2 主要功能函数 Form1_ FormClosing : 检查wardhmrias.exe是否存在,不存在则创建 写入注册表实现自启动 Form1_ Load : 设置窗体不可见 wardhmriasdo_ stadrt : 数据初始化 设置计时器 wardhmriasIPSrFI : 创建socket连接远程服务器 wardhmriassee_ spyo : 循环接收主控端命令并执行相应操作 5.3 远控功能详解 恶意程序实现了完善的远程控制功能集,通过命令字典执行不同操作: | 命令 | 功能编号 | 功能描述 | |------|---------|---------| | wardhmrias-puatsrt | 1 | 写入注册表实现持久化 | | wardhmrias-gedatavs | 3 | 遍历进程并发送进程信息 | | wardhmrias-thdaumb | 5 | 获取指定路径的图像文件信息 | | wardhmrias-praocl | 7 | 遍历进程 | | wardhmrias-fialsz | 9 | 获取指定路径的文件信息 | | wardhmrias-dodawf | 11 | 读取数据并写入指定文件 | | wardhmrias-enadpo | 13 | 结束指定进程 | | wardhmrias-scarsz | 17 | 设置屏幕捕获参数 | | wardhmrias-diars | 19 | 获取驱动信息 | | wardhmrias-staops | 21 | 设置标志位 | | wardhmrias-csdacreen | 23 | 捕获屏幕 | | wardhmrias-cnals | 25 | 设置标志位 | | wardhmrias-doawr | 27 | 同11(读数据写入文件) | | wardhmrias-scaren | 29 | 创建线程捕获屏幕 | | wardhmrias-fladr | 31 | 遍历指定路径的子目录 | | wardhmrias-udalt | 33 | 读取数据写入debdrivca.exe并执行 | | wardhmrias-inafo | 35 | 获取用户相关信息 | | wardhmrias-ruanf | 37 | 启动指定进程 | | wardhmrias-fiale | 39 | 获取指定文件内容 | | wardhmrias-dealt | 41 | 删除文件 | | wardhmrias-flaes | 43 | 获取指定路径下的文件 | | wardhmrias-afaile | 45 | 获取指定文件内容及信息 | | wardhmrias-liastf | 47 | 获取指定扩展名的文件 | 5.4 数据发送机制 恶意程序通过NetworkStream与C2服务器通信: 获取NetworkStream 读取主控端发送的命令 执行相应操作 通过专用函数发送数据回服务器 6. 检测与防御建议 6.1 检测指标 文件特征: wardhmrias.exe debdrivca.exe 注册表项: SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 网络通信: 122.216.201.108 6.2 防御措施 禁用Office宏或设置为仅允许受信任来源的宏运行 监控可疑的注册表修改行为 阻止与已知C2服务器IP的通信 部署能够检测C#恶意程序的行为分析工具 监控可疑的进程创建和文件释放行为 7. 分析工具建议 静态分析: dnSpy (用于C#程序分析) olevba (用于宏代码分析) 动态分析: Process Monitor Wireshark API Monitor 8. 总结 该恶意样本通过宏代码释放具有多种远程控制功能的恶意程序,采用持久化技术确保长期驻留,并通过完善的命令集实现对受感染主机的全面控制。防御此类攻击需要多层防护策略,特别是对Office宏的严格管控和对可疑网络行为的监控。