Netwalker malware deobfuscation - From PowerShell to EXE

-

最近開始上 Zero2Automated 這門課,覺得東西相當不錯,有興趣的話可以參考看看。

這篇會簡單介紹課程裡其中一個 Blog,是關於如何從 PowerShell deobfuscate 抓出原本的 malware並且繼續分析。

本魯道行不夠,先寫基本如何抓到exe檔案 😅


前言:

Malware 開發者為了避免自己辛苦寫出來的東西被輕易拿去分析,搞懂在做什麼,所以需要把sample給層層攪亂,增加分析的困難度

Sample hash: AAC57162DC1311F07A869F7163BD30E0D62DCC0E


*有好心人士提供了 sample: 

https://app.any.run/tasks/2e6da4bf-0016-4d19-b5c2-4a84aeda8d90/


開始分析吧!


1. 用Text editor 打開 sample, 可以看到用了基本的Base64 + 大小寫變換的處理

InVokE-ExPRESSIoN -COMmand $([StrinG]([SySTEM.TexT.ENcOdInG]::ASCII.GETStRiNG([SysTEM.CoNVErT]::FRomBAsE64StRiNG("ICAgICBbYllURVtdXSAgICAgICAgICRlRkdDU2pXS0tQcUxHUElZcCAgICAgICAgID0gICAgICAgDQoNCg0KDQoNCg0KQCgweDY3LDB4NjcsMHgxQywweDI1.......QoNCg0KDQoNCg0KDQo="))))


2. 要處理不難,把中間那串丟到 https://www.base64decode.org/ 就可以,會得到以下的東西

[bYTE[]] $eFGCSjWKKPqLGPIYp = @(0x67,0x67,0x1C,......x32,0x2B,0x2B,0x4a,0x4d) for ( $qTOJScZVUn = 0; $QTOjsCZvUn -lt $eFGCSjWKKPQLGpIYP.LeNgth; $qtOJscZvUN++ ) { $EFGCSjWKKPqlGpIYP[$qtOJscZVUN] = $EFGCSJWkkPqLGPIYP[$QtOJscZvUN] -BxOr 0x47 } $pDJjNSNEwQy = [SYSteM.TExt.EnCODiNg]::ASCII.GEtStRIng( $eFGCSjWKkPQlGPIYP ) $UqYpIOZoleKuXXbA = [SCRiPtblOCK]::CreAtE( $PDJjNSNEWQy ) INVoKE-CoMMaND -SCRiptBLocK $UQYPIoZOLEKuXXBA 


稍微看一下base64 decode後的結果,發現仍然是 powershell,作者相當用心.....繼續往下看並整理一下

for ( $qTOJScZVUn = 0; $QTOjsCZvUn -lt $eFGCSjWKKPQLGpIYP.LeNgth; $qtOJscZvUN++ ) { 

$EFGCSjWKKPqlGpIYP[$qtOJscZVUN] = $EFGCSJWkkPqLGPIYP[$QtOJscZvUN] -BxOr 0x47 

$pDJjNSNEwQy = [SYSteM.TExt.EnCODiNg]::ASCII.GEtStRIng( $eFGCSjWKkPQlGPIYP ) 

$UqYpIOZoleKuXXbA = [SCRiPtblOCK]::CreAtE( $PDJjNSNEWQy ) INVoKE-CoMMaND -SCRiptBLocK $UQYPIoZOLEKuXXBA 


3. 這個PowerShell還是夾帶著一大串hex string,以及 XOR key 0x47,所以接下來要想辦法把這巨大的hex string做 XOR。

方法也不難,找一台Windows VM,打開 PowerShell ISE ,修改成下面圖片,執行後就會自己做XOR,在下方輸入變數名稱,PowerShell ISE就會把最後XOR的結果印出來

記得把最後一行註釋起來,不然會執行malware並且加密所有檔案!

記得把最後一行註釋起來,不然會執行malware並且加密所有檔案!

記得把最後一行註釋起來,不然會執行malware並且加密所有檔案!


發現還是PowerShell,作者相當用心呢


4. 稍微觀察一下這個PowerShell檔案,可以看到有兩個很巨大的變數

[byte[]]   $ptFvKdtq=@(0xad,0xde,0x90,0x00,0x03,0x00,0x00,0x00,0x04,0x........

[byte[]]   $GxwyKvgEkr=@(0xad,0xde,0x90,0x00,0x03,0x00,0x00,0x00,0x04,..........


為什麼??繼續往下看可以發現是因為作者相當貼心,32bits / 64bits 都要照顧到

分析到這,既然已經開始判斷32/64位元,代表真正的執行檔也離我們不遠了!


5. 寫個小script把hex string抓出來吧!

將bytearray存成檔案 (我存成netwalker.bin) 並且用sciprt讀取,轉成hex format最後再存起來



6. 當你喜孜孜想說可以用IDA來看,但卻發現IDA說這是普通binary?????


WTF???

「黑人問號」的圖片搜尋結果


7. 用 Text Editor 打開Dump出來的檔案,發現以下畫面


發現身為一個EXE最重要的Magic Byte不對,作者心機真重.....
關於Magic Byte可參考這裡
https://zh.wikipedia.org/wiki/DOS_MZ%E5%8F%AF%E6%89%A7%E8%A1%8C%E6%96%87%E4%BB%B6

好,直接在Text Editor中把前兩個文字刪掉,改成MZ,並且用IDA再打開一次




Yeah ~ 終於看到PE Format 啦! 防毒軟體也跟著逼逼叫呢。


簡單總結一下思路

PowerShell -> Base64 Decode -> XOR Decode -> Change Magic Byte -> Final EXE


若是想針對最後的PowerShell了解更多的話可以參考這裡大神寫的Blog

https://blog.trendmicro.com/trendlabs-security-intelligence/netwalker-fileless-ransomware-injected-via-reflective-loading/


-0xbc


留言

張貼留言

這個網誌中的熱門文章

惡意程式分析 - 常用工具篇

-
前言 工作的關係,最近接觸了一點 Malware跟逆向的東西,把常用的工具跟用途紀錄一下,怕以後自己忘記....希望能不定時更新  本篇會分為四個部分來記錄 執行環境 靜態分析 動態分析 以及最後的懶人包 執行環境 最常見的就是Windows,個人偏好用Windows 7 64 bits,很常見也可以裝很多東西,惡意程式大多都是針對Windows 而設計的 另一個很好用的執行環境是 REMnux, 裡面已經預載了很多常用的工具接下來會提到 連結可以參考這裏  https://remnux.org/  以及官方文檔  https://docs.remnux.org/ 靜態分析 顧名思義,不想執行惡意程式但想看看裡頭的內容,針對Windows的話可以用下列工具 PE Studio - 需要額外安裝。可以做初步的分析,同時可以知道是否有Anti-debug/analysis 阻擋著我們 IDA - 逆向標配,可以看assembly,同時也具有Debug功能 Ghidra PE Bear/ PE View - 可以針對PE檔案格式做深入研究 oledump.py - 針對Office格式(Word, Excel)分析裡面的Macro pdf-parser.py - 針對PDF格式分析裡面的Object 動態分析 靜態分析完了之後想驗證自己的想法,可以使用動態分析 動態分析方法比較多種,但大致可以分成自動跟手動, 本魯比較偷懶,比較常用自動分析 Cuckoo - 沙盒標配,資料相當完整,但偶而會被Anti-debug/analysis的招式抓到直接不執行 ANY.RUN - 最簡單就是丟到Cuckoo這類的沙盒,不過最近發現了個很好用且免費的工具,他可以直接跟沙盒內的Windows VM做互動。唯一缺點是只支援Windows平台 對於不屑用沙箱的逆向大神們,先受我一拜........ 喜歡手動的話,也是有些工具可以推薦 Process Hacker - 高配版工作管理員,記錄所有執行中的程式以及詳細內容 (Mutex, process handle.....) 一邊執行一邊看著,通常可以很好發現 Process Injection的特徵 Process Explorer - 記錄所有API usage,但建議搭配視覺化工具像...
閱讀完整內容

Offensive Security Certified Professional (OSCP) 滲透測試證照經驗分享

-
圖片
1. 前言 在資訊安全的證照中, 有許多證照以及課程可以學習 像是CEH, Security+, CISSP. 但真正以實作滲透測試為主的, OSCP算是最大宗. 在台灣並不算很出名...但在國外算是小有名氣的證照之一. 國外的分享數量非常多不在話下, 所以這篇文章將以中文做分享, 希望能藉此機會拋磚引玉一下 2. OSCP介紹與先修材料推薦 2.1 先修材料推薦 由於 OSCP 對修課者會有一定的要求, 有些人或許會好奇, 如何才知道自己是否準備好可以來上課了? 有些資源是我個人很推薦在上課之前可以先參考練習一下: https://www.vulnhub.com  (提供很多脆弱虛擬機可以下載來練習, 網路上很多人有分享解法, 可以一步一步學習依樣畫葫蘆) https://www.hackthebox.eu  (需要用官網提供的VPN進入他的 Lab環境, 跟OSCP Lab類似, 由於是免費的所以並沒有提供教材. 但是是很棒的資源. 他有個前提是要能夠破解官網註冊步驟) 2.2 課程簡介 Lab購買方式 官網是  https://www.offensive-security.com  , 要參與考試之前必須先上他們的線上課程, 課程大綱的網址如下:  https://www.offensive-security.com/documentation/penetration-testing-with-kali.pdf 他的課程分為三種 (買lab同時會包含一次的考試, 單買考試是 一次60美金 以漲價變成150美金): Course + 30 days lab Course + 60 days lab Course + 90 days lab 詳細價格在 https://www.offensive-security.com/information-security-training/penetration-testing-training-kali-linux/ 可以發現其實差別只在lab天數. 不建議購買30天lab....因為有很大機會會沒有足夠時間做lab. 但是在購買過Course package後是可以單獨購買lab時數的. (很害羞的說我lab續了兩次, 因為小弟經驗不足實在破不完lab) 課程包括了PDF...
閱讀完整內容

Offensive Security Certified Professional Review

-
圖片
1. Introduction There are tons of certification in cybersecurity, for example, CEH, Security+, CISSP....but OSCP is known for its hands on experience and 24 hour exam. 2. Before OSCP.... 2.1 Material recommend There are some resource I would like to highlight before really step in OSCP's course. Although OSCP is the entry level cert in offsec, it still have lots knowledge Offsec expect people knows. Vulnhub: contain lots vulnerable machine, can download and do it locally https://www.vulnhub.com Hackthebox: Need VPN to their network, similar to OSCP's lab, really good resource before OSCP https://www.hackthebox.eu/ 2.2 Course Intro Official Sire is  https://www.offensive-security.com  , and before take exam, need to take their PWK course, here is syllabus  https://www.offensive-security.com/documentation/penetration-testing-with-kali.pdf Course have three types: Course + 30/60/90 days lab, can be found here: https://www.offensive-security.com/information-s...
閱讀完整內容