threatBook匿名用户
IOC 9

threatBookthreatBook

木马Rootkit
远控木马
匿名用户
2019-10-05 16:43:01ThreatBook570

本次涉及的样本(不是我骂人,文件名就是这个)

文件名称 2999.exe
文件大小 5050368 字节
MD5 733F2FA79A7452F7089640AB294BB29A
SHA1 A4E484CC49801ABFD7C9D08AA54DC920A9C6A823
CRC32 8C1B8022
SHA256 9b3e0386fa0af43af5b12d3fe0b2983fbf76858a0462ee046bd2dec15f837875
文件名称 Frsbxic
文件大小 49664 字节
MD5 13461C4371AB10FC2E3FAFFA92C24C7B
SHA1 0F3BB74CCDFEF6C2A3919FB63A26DB0E8917FE7E
CRC32 4D19FFF0
SHA256 06757ecfdb2e22402c59e99651205a7ac471845d84d2ae7174df14aa2a64858b
文件名称 RMMM.sys
文件大小 12928 字节
MD5 B8EAC3BC654EDB894D0D80D28F6FFEF5
SHA1 A6B0EBE0D85A87FF3C450EA024A3B7EE9948784A
CRC32  2DB5B5A7
SHA256 529a3a8f37a8f8a5e77bc923b447fa10d37fba28764159a9e0cf708ba42911d7
文件名称 你妈死了.exe
文件大小 835584 字节
MD5 8700928B47B0E5E5B3BC5FC1DDE7909A
SHA1 B98CC36B6D16683CF1EA0A4EED530ADF8998278C
CRC32  50553C2A
SHA256 28c73da2e0671c7a6335dc3ecbab6c558b6d131af36d3e51d948897904a59c4b

—————————————————————————————————————————————————————

样本存在时间 --> 比较新

QQ截图20191005161815.png

QQ截图20191005165940.png

QQ截图20191005164915.png

QQ截图20191005165512.png

—————————————————————————————————————————————————————

沙盒行为测试

行为总览

QQ截图20191005163044.png

行为分析

首先会在" %PROGRAMFILES%\Microsoft Qqgmmw\ " 下创建" Frsbxic.pif "

此文件用UPX进行压缩

QQ截图20191005162523.png

同时创建了一个新的服务

QQ截图20191005160629.png

访问一下地址

URI Category
120.24.231.105 未评级
http://2017.ip138.com 信息技术
http://ip.chinaz.com/getip.aspx 信息技术
13.86.101.172 未评级
45.195.153.222 未评级
http://ip.chinaz.com 信息技术
183.131.206.140 未评级

对45.195.153.222有通信访问

QQ截图20191005163623.png

QQ截图20191005163639.png

—————————————————————————————————————————————————————

手动在虚拟机中测试

打开本体后弹出此界面,点击使用即可进入另一界面

QQ截图20191005164146.png

QQ截图20191005164438.png

此文件还注入正常的svchost.exe

QQ截图20191005172611.png


点击“没效果点我”即在“ C:\Windows\Fonts\ ” 中创建 “ 你妈死了.exe ” 

此为加驱界面,需要管理员权限

QQ截图20191005164822.png

否则就弹出这个窗口

QQ截图20191005165737.png

点击加载效果后的行为

QQ截图20191005164536.png

展开全部ThreatBook

威胁指标(IOC)

IP端口域名样本标签
13.86.101.1721001
45.195.153.2222210
120.24.231.105246203
183.131.206.14001201
Hash检测结果样本标签
06757ecfdb2e22402c59e99651205a7ac471845d84d2ae7174df14aa2a64858b14/2400
28c73da2e0671c7a6335dc3ecbab6c558b6d131af36d3e51d948897904a59c4b4/2400
383575808000d3a2d6b328b6b1348d2f9670e04fa761257f3e312848aef5214414/2400
529a3a8f37a8f8a5e77bc923b447fa10d37fba28764159a9e0cf708ba42911d71/2400
9b3e0386fa0af43af5b12d3fe0b2983fbf76858a0462ee046bd2dec15f8378758/2400
5

评论

ThreatBook
Denver帅帅
2019-10-16 10:09:25
threatBook0
这是故意让你找到的 会玩点的 你分析了 这边已经把你锁定了
匿名用户
2019-10-10 13:57:28
threatBook0
很爽的样子
luolin6888
2019-10-09 14:48:46
threatBook0
学习了 楼主能拜师吗
匿名用户
2019-10-08 16:51:12
threatBook0
好好学习
zengsi250
2019-10-06 22:01:56
threatBook0
牛逼兄弟
匿名用户
2019-10-06 08:04:10
threatBook0
学习了,感谢分享
已经到底了,没有更多内容了