5ss5c恶意样本分析教学文档

5ss5c恶意样本分析教学文档 1. 分析环境准备 硬件/软件要求 操作系统 : Windows7 x64 分析工具 : OllyDbg (OD) IDA Pro 7.0 x64dbg PE工具(用于脱壳和修复导入表) 2. 样本基础信息 样本特征 加壳方式 : MPRESS压缩壳(32位和64位版本) 样本组成 : C.exe (主加载器) mmkt.exe (扫描和窃密模块) star.exe (后门植入工具) blue.exe (漏洞利用模块) CPT.exe (勒索加密模块) poc.exe (辅助模块) 3. 详细分析流程 3.1 C.exe分析 (主加载器) 主要行为: 创建互斥体 : 确保单实例运行 数据加密 : 对某些关键数据进行加密处理 文件释放 : 释放poc.exe 释放mmkt.exe (会根据操作系统版本判断释放方式) 进程通信 : 使用GetNamedPipeHandleStateA函数进行进程间通信 分析技巧: 使用OD跟踪找到入口点脱壳 修复导入表后转储分析 注意观察程序创建的互斥体名称 3.2 mmkt.exe分析 (扫描窃密模块) 主要行为: 主机扫描 : 扫描本地网络存活主机 将结果存储在scanlog文件中 密码窃取 : 获取本地系统密码 网络信息收集 : 获取主机名称 获取本地IP地址 64位MPRESS脱壳步骤: 使用x64dbg载入程序 F9运行到EntryPoint F8单步观察RSP寄存器 在内存窗口中找到关键四字节数据 设置硬件访问断点(4字节) F9两次到达真正入口点 修复导入表 3.3 star.exe分析 (后门植入) 主要功能: 打开目标端口 连接指定IP 执行shellcode 下载blue.exe运行所需的依赖库 脉冲双星后门植入工具特征 3.4 blue.exe分析 (漏洞利用) 主要行为: 使用释放的模块进行攻击 永恒之蓝漏洞利用(MS17-010) 配合star.exe进行横向移动 3.5 CPT.exe分析 (勒索模块) 主要特征: 加壳方式 : MPRESS + VM混淆 加密行为 : 使用DES算法加密文件 遍历文件夹加密文档 显示勒索信息 加密体系 : RSA+AES组合加密(高强度) 4. 恶意行为总结 攻击链流程: 运行C.exe 释放poc.exe并建立网络连接和自启动 执行poc.exe触发系统漏洞 运行mmkt.exe扫描网络和窃取凭证 使用star.exe植入后门 blue.exe利用漏洞进行横向传播 CPT.exe加密文件并勒索 主要危害: 局域网内循环攻击传播 凭证窃取 后门持久化 文件加密勒索 使用NSA泄露的永恒之蓝工具包 5. 分析技巧总结 动态分析要点: 监控进程创建行为 记录文件释放位置 捕获网络通信 分析互斥体和事件对象 静态分析要点: 脱壳技巧(特别是MPRESS x64) 导入表修复方法 VM混淆代码的分析策略 加密算法的识别 6. 样本获取 百度云盘地址: [ 已省略 ] 提取码: 5am5 解压密码: leishishiyanshi 7. 防御建议 及时修补MS17-010等漏洞 监控异常进程创建行为 限制命名管道的使用 检测MPRESS加壳的可疑文件 防范勒索软件的最佳实践 8. 扩展分析方向 RSA+AES加密体系的逆向分析 脉冲双星后门的C2通信分析 漏洞利用模块的详细工作原理 样本的持久化机制研究