Blackmonth样本分析
字数 1297 2025-08-07 08:22:29

Blackmonth样本分析技术文档

样本基本信息

  • 文件名称: bca11af3fb5437be2c8ce4fae6230836+0aa6f9f75c8e329ae23b3118bcfbf71018fe3a1a_bca11af3fb5437be2c8ce4fae6230836.vir
  • 哈希值:
    • MD5: bca11af3fb5437be2c8ce4fae6230836
    • SHA-1: 0aa6f9f75c8e329ae23b3118bcfbf71018fe3a1a
    • SHA-256: d44e73f421132ef7a39c219988821cb4e44fe8dbde5e8d0acbf8cd6a9a156d3d
  • 文件大小: 444,938 bytes (主文件), 3,584 bytes (可能为解压后文件)

注册表相关路径

样本会修改以下注册表路径:

HKEY_CURRENT_USER\Software\Microsoft\Windows Messaging Subsystem\Profiles\9375CFF0413111d3B88A00104B2A6676
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\9375CFF0413111d3B88A00104B2A6676
HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\Profiles\Outlook\9375CFF0413111d3B88A00104B2A6676
HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Profiles\Outlook\9375CFF0413111d3B88A00104B2A6676

网络相关特征

URL字符串解析

  • https://api.ipify.org/ (用于获取受害者公网IP)
  • http://ylnfkeznzg7o4xjf.onion/kpanel/connect.php (Tor隐藏服务C2地址)

内存中解析的IP地址

样本在内存中解析以下IP地址,可能为C2服务器:

194.109.206.212
154.35.175.225
199.58.81.140
193.23.244.244
128.31.0.34
131.188.40.189
171.25.193.9
204.79.197.219
192.23.244.244

脱壳技术分析

文章提到UPX脱壳方式有误,正确方法应查找OEP(原始入口点)。参考链接提供了详细的脱壳教程:
https://www.yuque.com/chenguangzhongdeyimoxiao/wrgcq4/snrwcr

正确脱UPX壳步骤概要

  1. 识别UPX壳特征:

    • 入口点代码特征
    • 区段名称(如UPX0, UPX1)
    • 特定导入表结构

  2. 查找OEP方法:

    • 使用内存断点法
    • 堆栈平衡法
    • 单步跟踪法
    • ESP定律

  3. 重建导入表:

    • 使用ImportREC等工具
    • 修复IAT(导入地址表)

  4. 修复PE头:

    • 修正入口点
    • 修复区段属性

样本行为分析

  1. 持久化机制:

    • 通过修改Outlook相关注册表实现持久化
    • 针对多个Office版本(15.0, 16.0)进行兼容

  2. 网络通信:

    • 使用标准HTTP协议和Tor隐藏服务
    • 具备IP地址获取功能(通过api.ipify.org)
    • 多C2服务器设计增强鲁棒性

  3. 反分析技术:

    • 使用UPX加壳
    • 可能包含其他混淆技术(文中未详细说明)

检测与防御建议

  1. 检测指标(IOC):

    • 上述所有哈希值
    • 注册表修改路径
    • 网络通信特征(URL和IP)

  2. 防御措施:

    • 监控Outlook相关注册表变更
    • 拦截对api.ipify.org和.onion域名的访问
    • 使用沙箱分析可疑邮件附件

  3. 分析工具建议:

    • IDA Pro或Ghidra进行静态分析
    • x64dbg或OllyDbg进行动态调试
    • Wireshark或Fiddler监控网络流量
    • PEiD或Exeinfo PE检测加壳类型

参考资源

  1. UPX脱壳详细教程: https://www.yuque.com/chenguangzhongdeyimoxiao/wrgcq4/snrwcr
  2. 恶意样本分析基础工具链配置
  3. Outlook相关注册表结构文档
Blackmonth样本分析技术文档 样本基本信息 文件名称 : bca11af3fb5437be2c8ce4fae6230836+0aa6f9f75c8e329ae23b3118bcfbf71018fe3a1a_ bca11af3fb5437be2c8ce4fae6230836.vir 哈希值 : MD5: bca11af3fb5437be2c8ce4fae6230836 SHA-1: 0aa6f9f75c8e329ae23b3118bcfbf71018fe3a1a SHA-256: d44e73f421132ef7a39c219988821cb4e44fe8dbde5e8d0acbf8cd6a9a156d3d 文件大小 : 444,938 bytes (主文件), 3,584 bytes (可能为解压后文件) 注册表相关路径 样本会修改以下注册表路径: 网络相关特征 URL字符串解析 https://api.ipify.org/ (用于获取受害者公网IP) http://ylnfkeznzg7o4xjf.onion/kpanel/connect.php (Tor隐藏服务C2地址) 内存中解析的IP地址 样本在内存中解析以下IP地址,可能为C2服务器: 脱壳技术分析 文章提到UPX脱壳方式有误,正确方法应查找OEP(原始入口点)。参考链接提供了详细的脱壳教程: https://www.yuque.com/chenguangzhongdeyimoxiao/wrgcq4/snrwcr 正确脱UPX壳步骤概要 识别UPX壳特征 : 入口点代码特征 区段名称(如UPX0, UPX1) 特定导入表结构 查找OEP方法 : 使用内存断点法 堆栈平衡法 单步跟踪法 ESP定律 重建导入表 : 使用ImportREC等工具 修复IAT(导入地址表) 修复PE头 : 修正入口点 修复区段属性 样本行为分析 持久化机制 : 通过修改Outlook相关注册表实现持久化 针对多个Office版本(15.0, 16.0)进行兼容 网络通信 : 使用标准HTTP协议和Tor隐藏服务 具备IP地址获取功能(通过api.ipify.org) 多C2服务器设计增强鲁棒性 反分析技术 : 使用UPX加壳 可能包含其他混淆技术(文中未详细说明) 检测与防御建议 检测指标(IOC) : 上述所有哈希值 注册表修改路径 网络通信特征(URL和IP) 防御措施 : 监控Outlook相关注册表变更 拦截对api.ipify.org和.onion域名的访问 使用沙箱分析可疑邮件附件 分析工具建议 : IDA Pro或Ghidra进行静态分析 x64dbg或OllyDbg进行动态调试 Wireshark或Fiddler监控网络流量 PEiD或Exeinfo PE检测加壳类型 参考资源 UPX脱壳详细教程: https://www.yuque.com/chenguangzhongdeyimoxiao/wrgcq4/snrwcr 恶意样本分析基础工具链配置 Outlook相关注册表结构文档