2025年最靠谱的六合彩投注网软件

六合彩技术探讨
发新帖
打印 上一主题 下一主题

[六合彩技术] 使用 Malcat 编写 Qakbot 5.0 配置提取器

[复制链接]
1005 0
楼主
发表于 2024-2-28 10:03:02 | 只看该作者 |倒序浏览 |阅读模式
跳转到指定楼层
本帖最后由 梦幻的彼岸 于 2024-2-28 10:07 编辑

翻译:梦幻的彼岸
样本:
73472cfc52f2732b933e385ef80b4541191c45c995ce5c42844484c33c9867a3.msi (Bazaar, VT)
传染链:
MSI installer -> Backdoored DLL -> PE loader -> Qakbot
分析所使用的工具
难度
中级水平
简介
在过去的 15 年里,人们对 Qakbot 进行了大量研究,它在恶意软件领域扮演着重要角色。在2023 年 8 月被成功清除后,它最近又受到了关注,因为在 2023 年 12 月左右又发现了一个新的变种。
但在起死回生后,该 RAT 也切换到了新版本:5.0。遗憾的是,现有的 Qakbot 配置提取器停止工作了(据我所知),这表明恶意软件代码发生了非同小可的变化。这相对来说比较恼人:配置提取器对于僵尸网络跟踪和事件响应非常有用。但与其抱怨,不如让六合彩启动 Malcat,看看能否自己编写一个配置提取器!

第一阶段: MSI installer
感谢 Malware Bazaar,六合彩很容易就找到了 Qakbot 的最新样本。这个样本碰巧是一个 MSI 安装程序。MSI 安装程序经常被恶意软件作者滥用来打包他们的恶意程序。因此,让六合彩在 Malcat 中加载该文件,看看有什么发现。在摘要视图中,六合彩首先看到的是一个 "Acrobat "安装程序。
图 1:安装程序

当然在分析 MSI 安装程序时,首先要看的是CustomAction表,它在一定程度上驱动着安装过程。幸运的是,Malcat full & pro 可以在反编译视图中显示所有 MSI 表格的内容。只需按F4并向下滚动到CustomAction表(表按字母顺序排序)。LaunchFile 项尤其有趣,其中确实有一个运行名为viewer.exe的程序,命令行非常可疑:
  1. {
  2.     "Action": "LaunchFile",
  3.     "Type": 2,
  4.     "Source": "viewer.exe",
  5.     "Target": "/HideWindow rundll32 [APPDIR]\\MicrosoftOffice15\\ClientX64\\[ProductName].dll,CfGetPlatformInfo",
  6.     "ExtendedType": null
  7. }
复制代码

六合彩首先来看看这个viewer.exe。根据我的经验,MSI 安装程序中有两种类型的文件:
  • 安装过程中需要的文件:图片、插件、工具等。这些文件存储在二进制数据库中。Malcat 会在虚拟文件系统选项卡中将其列为Binary.<文件名>。
  • 永久安装到磁盘的文件:这些文件存储在 CAB 存档中,如本安装程序中的disk1.cab文件。
文件viewer.exe似乎属于第一种类型,六合彩只需在 "虚拟文件系统"选项卡中双击Binary.viewer.exe即可打开它。快速威胁情报哈希值查询(Ctrl+I或摘要视图中的 "Check intelligence"按钮)提示六合彩,该文件可能是一个简单的第三方启动器:
图 2:viewer.exe

下一个疑点是目标属性中引用的 DLL。六合彩没有 DLL 的名称,但幸运的是,在disk1.cab 文件中有一个名为dll_1的 DLL 文件。要打开它,只需双击disk1.cab,然后双击dll_1。六合彩现在正面临感染的第二阶段。

第二阶段: Antimalw.dll
文件dll_1是一个 922KB 的 PE DLL,sha256 为a59707803f3d94ed9cb429929c832e9b74ce56071a1c2086949b389539788d8a(VirusshareVT),名为antimalw.dll(版本信息)或antimalware_provider64.dll(导出名称)。该文件立即引起六合彩的怀疑:

  • 它声称是 Bitdefender 的 AMSI 提供商,即 Bitdefender 杀毒软件的脚本扫描组件。antimalw.dll包含 Bitdefender 原始 DLL 的部分内容,但显然不是。
  • 它的数据目录显示它是用证书签名的,但证书的位置已被.rsrc部分覆盖。
  • 它有一个名为ЬГнЦИРИ的大型高熵资源
  • 其入口函数为空
  • 它只有一个导出函数CfGetPlatformInfo,但似乎被混淆了

看起来,恶意软件的作者获取了 Bitdefender 的antimalware_provider64.dll,并用恶意代码对其进行了回溯/覆盖。
图 3:一个可疑的 DLL

既然六合彩已经确认文件是恶意的,那就言归正传吧。面对打包的恶意软件,我采取的第一步是一个我称之为 Where is the poop, Robin的过程。你看,没有什么魔法:恶意软件必须将其有效载荷存储在某个地方(当然,除非它们是下载工具)。因此,与其盲目深入代码或将二进制文件提交到缓慢的沙盒中,最好的办法往往是先找到加密的有效载荷。找到隐藏的有效载荷可以让你立即解密,或者在最坏的情况下,为你提供开始逆向工程的有用指针。
大型高熵资源 ЬГнЦИРИ似乎是六合彩开始搜索的好对象。在十六进制视图中滚动浏览其字节,六合彩可以在文件末尾附近看到一个重复模式。这通常暗示着某种旋转密钥加密机制。由于文件末尾为零的可能性很大,而且六合彩知道恶意软件作者喜欢使用 XOR 加密,因此六合彩只需尝试使用密钥"HU03!Mm!?qYHCTnaEX<\0"(注意末尾的空字节)解除 XOR 加密即可。顺便提一下,在导出函数CfGetPlatformInfo 中,该字符串作为堆栈字符串出现,这一点令人鼓舞:
图 4:对资源进行解密

事实上,六合彩已经成功解密了资源。XOR 加密万岁!

第三阶段: PE loader
六合彩现在面对的是一个看起来像 180KB x64 shellcode 的文件(sha2568c7401218e6da9533d4e97849ad6c528b231c1b9cdcf43d1788757c3862dc2d4)。现在有两种方法。最简单的方法就是模拟 shellcode,具体步骤如下:
  • 将架构强制为 x64
  • 选择 shellcode 的第一个字节并在此定义新函数
  • 使用 Malcat 的模拟器脚本试试运气,例如运行脚本emulation/Speakeasy (shellcode)
另一方面,Malcat 从 180 KB 的外壳代码中雕刻出了一个 170KB 的纯文本 PE 文件。因此,让六合彩采取简单的方法,只需双击雕刻好的 PE 文件,即可进入下一阶段:

图 5:shellcode 及其嵌入的 PE 文件
第四阶段: the Qakbot DLL
下一阶段是名为cldapi.dll 的 170KB PE dll,其 sha256 为af6a9b7e7aefeb903c76417ed2b8399b73657440ad5f8b48a25cfe5e97ff868f(Virusshare,VT)。六合彩面对的是感染链的最后阶段:一个编译于 2024-01-29 的Qakbot恶意软件,因此很可能是新的 5.0 版本之一!

六合彩如何确定这是最终的恶意软件?通常,我倾向于使用 Malpedia 的 Yara 规则进行确认,但遗憾的是,他们的Yara 规则似乎并不涵盖新版 Qakbot。但如果六合彩将cldapi.dll样本与 2023 年 3 月的 Qakbot 版本(例如这个版本)进行比较,就会发现即使某些字符串被更改或加密,但大多数字符串仍然存在:

图 6:字符串与 2023 年 3 月 Qakbot 样本的比较

除了 Qakbot 属性外,六合彩还可以看到 DLL 稍微被混淆了:
  • API 地址在运行时通过哈希值动态解析(哈希值已加密)
  • 大多数字符串都已加密
  • 这里或那里有一些垃圾代码
虽然在六合彩的案例中,API 混淆并不是什么大问题,但如果六合彩要编写配置提取器,字符串加密可能会有问题。这将是六合彩的第一项任务:定位并解密 Qakbot 的字符串。

解密字符串查找第一个加密字符串数组
虽然 Qakbot 并不是一个巨大的恶意软件,但要逆转超过 120KB 的代码总是很繁琐。由于六合彩要找的是相当精确的东西,即加密数据块,因此六合彩将再次把重点放在数据上,而不是深入代码。更确切地说,六合彩将尝试找到任意数据部分的所有数据缓冲区,它们是:
  • 相对较大,例如超过 64 字节
  • 具有高熵
  • 有传入代码引用
为方便搜索,请确保您已启用传入参考高亮显示

Malcat 偶然发现了一些已知的常量数组,如嵌入式 Zlib 库使用的预计算表,这为六合彩节省了一些时间,因为六合彩对这些缓冲区并不感兴趣。从地址0x180028150 开始,六合彩可以看到一些候选缓冲区。前三个缓冲区看起来很有希望(为了清楚起见,六合彩给它们起了名字并用颜色标出):
图 7:加密缓冲区Candidates

这三个缓冲区都被同一个函数sub_180002ab8引用,六合彩将其重命名为decrypt_string_1。这个函数看起来就像典型的字符串解密函数:如下所示,它有许多输入引用,每次调用都有一个不同的硬编码参数。这个参数很有可能是一个字符串索引:
  1. void decrypt_string_1(xunknown4 string_index)
  2. {
  3.     decrypt_aes_plus_xor(ENCRYPTED_STRINGS_1, 0x5ad, AES_ENCRYPTED_XOR_KEY, 0xd0, AES_PASSWORD, 0x63, string_index);
  4.     return;
  5. }
复制代码

图 8:第一个字符串解密函数的上下文内容

函数decrypt_string_1非常简单:它调用一个名为decrypt_aes_plus_xor的辅助函数,并将加密后的三个缓冲区作为参数。其反编译代码(F4)如下:

每个变量的值如下:

[td]
名称地址字节大小描述
decrypt_strings_1
0x180002ab8
0x3f
Decryption function for the first encrypted strings array
STRINGS_1
0x1800282a0
0x5ad
First encrypted strings array
AES_ENCRYPTED_XOR_KEY
0x1800281c0
0xd0
The XOR key used to decrypt the string array, but AES256-CBC encrypted
AES_PASSWORD
0x180028150
0x63
The password used to derive the AES256 key for AES_ENCRYPTED_XOR_KEY
decrypt_aes_plus_xor
0x18000dc2c
0x1de
The function that decrypts the string array and selects the string
aes_encrypt_decrypt_iv_prefix
0x180011504
0x3f7
A function called by decrypt_aes_plus_xor that decrypts or encrypts an arbitrary data buffer using AES256 in CBC mode
解密字符串
要获得decrypt_aes_plus_xor函数的功能,需要进行一些逆向工程。由于代码相对较短,你可以静态地完成它,不过会遇到一些问题,因为 API 是动态解析的。使用调试器跟踪函数是更明智的选择。总之,最后的工作相对简单,字符串解密例程看起来就像这样:

图 9:如何解密字符串

好消息是,六合彩已经在 Malcat 中获得了所需的所有材料!事实上,Malcat 已经有了一个名为CryptDeriveKey 的数据转换。实际上,六合彩根本不需要它:在这种特定配置下,CryptDeriveKey只是计算密码的SHA256哈希值,并直接将其用作密钥。至于CryptDecrypt:它在 CBC 模式下执行简单的 AES 256 解密,六合彩也有一个用于此的转换。
注意:Advapi32.dll 加密函数默认添加/删除填充,因此请务必在转换窗口中勾选 "unpad"。
因此,只需使用 Malcat 转换,六合彩就能在几秒钟内手动解密字符串,如下图所示:
图 10:利用 Malcat 变换解密 th 字符串

结果如下:
  1. SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
  2. ProgramData
  3. netstat -nao
  4. %s "$%s = "%s"; & $%s"
  5. net localgroup
  6. powershell.exe
  7. route print
  8. "%s\system32\schtasks.exe" /Create /ST %02u:%02u /RU "NT AUTHORITY\SYSTEM" /SC ONCE /tr "%s" /Z /ET %02u:%02u /tn %s
  9. Component_08
  10. ERROR: GetModuleFileNameW() failed with error: ERROR_INSUFFICIENT_BUFFER
  11. net view
  12. ipconfig /all
  13. Self check
  14. T2X!wWMVH1UkMHD7SBdbgfgXrNBd(5dmRNbBI9
  15. 4Lm7DW&yMF*ELN4D8oNp0CtKUf*C2LAstORIBV
  16. Start screenshot
  17. %s.%u
  18. adrclient.dll
  19. net share
  20. qwinsta
  21. \System32\WindowsPowerShell\v1.0\powershell.exe
  22. at.exe %u:%u "%s" /I
  23. Self test FAILED!!!
  24. Component_07
  25. whoami /all
  26. /c ping.exe -n 6 127.0.0.1 &  type "%s\System32\calc.exe" > "%s"
  27. error res='%s' err=%d len=%u
  28. nltest /domain_trusts /all_trusts
  29. .lnk
  30. cmd
  31. schtasks.exe /Create /RU "NT AUTHORITY\SYSTEM" /SC ONSTART /TN %u /TR "%s" /NP /F
  32. %s "$%s = \\"%s\\\\; & $%s"
  33. ERROR: GetModuleFileNameW() failed with error: %u
  34. schtasks.exe /Delete /F /TN %u
  35. arp -a
  36. Self check ok!
  37. cmd.exe /c set
  38. %s %04x.%u %04x.%u res: %s seh_test: %u consts_test: %d vmdetected: %d createprocess: %d
  39. Microsoft
  40. powershell.exe -encodedCommand %S
  41. SELF_TEST_1
  42. microsoft.com,google.com,kernel.org,www.wikipedia.org,oracle.com,verisign.com,broadcom.com,yahoo.com,xfinity.com,irs.gov,linkedin.com
  43. c:\ProgramData
  44. nslookup -querytype=ALL -timeout=12 _ldap._tcp.dc._msdcs.%s
  45. %u;%u;%u;
  46. powershell.exe -encodedCommand
  47. runas
  48. /teorema505
  49. Self test OK.
  50. ProfileImagePath
  51. p%08x
复制代码

遗憾的是,除了 CNC http 端点 (/teorema505),这里既没有 CNC 地址列表,也没有任何有价值的配置数据。因此,六合彩必须深入挖掘。
对第二个字符串数组进行解密
这个二进制文件中还有第二个加密字符串数组。这个数组的重要性较低,解密方法与第一个数组完全相同。唯一的区别是使用的 XOR 密钥和 AES 密码不同。如果你感兴趣,下面是 Qakbot 示例中与第二个数组相关的变量位置:

[td]
名称地址字节大小描述
decrypt_strings_2
0x18000de90
0x3f
Decryption function for the second encrypted strings array
STRINGS_2
0x1800297a0
0x1836
Second encrypted strings array
AES_ENCRYPTED_XOR_KEY_2
0x18002afe0
0xa0
The XOR key used to decrypt the string array, but AES256-CBC encrypted
AES_PASSWORD_2
0x180029700
0x9f
The password used to derive the AES256 key for AES_ENCRYPTED_XOR_KEY_2

如果使用与第一个数组相同的程序,就可以得到下面的字符串列表:请参见 pastebin

配置
确定配置位置

解密字符串固然是件好事,但六合彩的目标是获取 Qakbot 的配置,或者至少是它的命令与控制 (CNC) 服务器列表。六合彩将遵循流程,从数据分析入手。在上一章介绍的解密字符串列表中,有两个字符串看起来有点不寻常:

  • 字符串数组中偏移量0x182处的第 14 个字符串: T2X!wWMVH1UkMHD7SBdbgfgXrNBd(5dmRNbBI9
  • 字符串数组中偏移量0x1a9处的第 15 个字符串: 4Lm7DW&yMF*ELN4D8oNp0CtKUf*C2LAstORIBV

六合彩在上一章中看到,字符串解密函数decrypt_strings_1的第一个参数是要解密的字符串的索引,即它相对于加密字符串数组起始位置的位置。因此,如果六合彩想知道这两个字符串是如何使用的,只需在代码中查找它们的偏移量即可。让六合彩关注第一个字符串:

图 11:查找对字符串 0x182 的引用

六合彩很快就得到了两个候选函数:一个是位于偏移量0x18000622c的函数,六合彩将其称为decrypt_CNC,另一个是位于偏移量0x18000345c的函数,六合彩将其称为decrypt_params。第二个好消息是,除了0x182字符串之外,这两个函数都引用了一个高熵缓冲区(分别名为CNC_LIST和PARAMS)。这些函数和变量的地址如下:

[td]
名称地址字节大小描述
decrypt_CNC
0x18000622c
0x2cc
Decryption function for Qakbot's CNC
CNC_LIST
0x180028852
0x51
Encrypted CNC list
decrypt_params
0x18000345c
0x76
Decryption function for Qakbot's campaign information
PARAMS
0x180029022
0x51
Encrypted campaign informations
aes_decrypt_and_check_sha256
0x180015d14
0x105
Function to decrypt both encrypted blob

最后还有一个好消息:这两个函数最终都会调用六合彩的好帮手aes_encrypt_decrypt_iv_prefix。六合彩在逆转字符串解密过程时已经发现了这个函数:它能解密以 16 字节 IV 为前缀的 AES256-CBC 加密缓冲区。
图 12:计算机解密功能候选方案
解密 CNC 列表
如果六合彩深入研究一下函数,特别是aes_decrypt_and_check_sha256 中的内容,就会发现加密后的 blob CNC_LIST和PARAMS有一个特殊的结构:
  • 它们的前缀是大小(16 位 int)
  • 然后是一个字节的 Blob 标识符
  • 然后,六合彩就得到了已知的 AES 加密 blob:
    • 16 个字节的初始化向量 (IV)
    • 实际的 AES256-CBC 加密内容
blob 格式如下图所示:

图 13:Cnc 列表加密 blob

要解密 blob,六合彩将使用与字符串相同的程序:

  • 计算密码"T2X!wWMVH1UkMHD7SBdbgfgXrNBd(5dmRNbBI9"的 SHA256 值(7085d1138cbac863a9b4f1bf85a4d413804ef3a3ec52729fa15747a6ee320325)
  • 选择 0x40 字节的 AES 加密数据
  • 在CBC 模式下使用 Malcat 的转换AES 解密,将 IV 设置为加密数据前的 16 个字节,将密钥设置为 sha256 哈希值
  • 不要忘记检查unpad

解密CNC_LIST blob 后,六合彩看到的是一个相对简单的二进制结构。在函数decrypt_CNC中稍加反转,六合彩就能迅速了解解密所需的一切信息。解密后的 blob 以 sha256 校验和开头,然后是一个(IP、端口)对列表。详情如下:
图 14:CNC 列表已解密

就是这样!六合彩得到了 3 个 CnC 地址:

  • 31.210.173.10:443 (VT)
  • 185.156.172.62:443 (VT)
  • 185.113.8.123:443 (VT)

现在,让六合彩看看第二个缓冲区PARAMS 为六合彩提供了哪些信息。

解密 campagn 信息
第二个引用的 BlobPARAMS是以完全相同的方式用相同的密码("T2X!wWMVH1UkMHD7SBdbgfgXrNBd(5dmRNbBI9 "的 sha256)加密的。如果重复使用相同的解密过程,最后应该会得到类似这样的结果:

图 15:已解密的活动信息

六合彩可以得到三个参数:

  • id 10的参数似乎是活动 ID (tchk08)
  • id 3的参数似乎是一个时间戳,很可能是编译时间
  • 不知道参数40的用途

有了这最后一条信息,六合彩就可以停止搜索 Qakbot 配置数据了。

编写脚本编写思路
你可能已经注意到了,最后解密的过程有点繁琐。在本章中,六合彩将通过在 Malcat 中编写一个 python 配置提取器来自动完成这一过程。事实上,Malcat 具有强大的 python 绑定功能,这些功能都有详尽的文档说明。在脚本中,你可以通过某种 Python 方式访问完整的分析对象。


注:如果您拥有 Malcat 的完整版或专业版,也可在headless mode下从命令行运行脚本

该脚本的作用是重新执行六合彩手动执行的所有步骤:
  • 收集 .data 部分中所有有趣的引用缓冲区
  • 查看这些缓冲区是否以大小为前缀。如果没有,则尝试通过查看引用函数代码中使用的常量来推断其大小。
  • 然后解密所有内容:
    • 对于字符串数组: 尝试所有可能的三元组排列(strings_array、xor_key_encrypted、aes_password)来解密字符串,并保留有效的排列。
    • 用于提取配置: 使用在第一个字符串数组中找到的任何高熵字符串作为 AES 密码,并尝试解密 CNC IP 和活动信息。保留有效的信息(六合彩可以用 sha256 进行双重检查)

数组的排序在不同的样本之间会发生变化。我本可以使用代码签名来更容易地找到字符串解密函数,但代码可能会改变,而代码签名在重新编译时并不那么稳健。另一方面,分析数据则更稳健一些,我希望脚本能工作一段时间。
既然这篇博文已经够长了,我就把下面相对完备的代码留给大家吧。对你来说,唯一有点陌生的概念可能就是Malcat 的地址空间及其a2p 函数等。但除了这个小细节外,其他的应该都很容易理解。

脚本
  1. """name: Qakbot 5.0category: config extractorsauthor: malcatDecrypt strings and extract CnC informations from a (plain-text) Qakbot 5.0 sample"""import malcatimport structimport itertoolsimport hashlibimport jsonimport datetimeimport reimport mathimport collectionsfrom transforms.binary import CircularXorfrom transforms.block import AesDecrypt############################ utility functionsdef decrypt_aes_iv_prefix(data:bytes, aes_password: bytes):
  2.     key = hashlib.sha256(aes_password).digest()
  3.     iv = data[0:16]
  4.     data = data[16:]
  5.     return AesDecrypt().run(data, mode="cbc", iv=iv, key=key, unpad=True)def get_all_referencing_functions(a:malcat.Analysis, address:int):
  6.     res = []
  7.     for incoming_ref_type, incoming_ref_address in a.xref[address]:
  8.         fn = a.fns.find(incoming_ref_address)
  9.         if fn is not None:
  10.             res.append(fn)
  11.     return set(res)def entropy(data:str, base=2):
  12.     if len(data) <= 1:
  13.         return 0
  14.     counts = collections.Counter()
  15.     for d in data:
  16.         counts[d] += 1
  17.     ent = 0
  18.     probs = [float(c) / len(data) for c in counts.values()]
  19.     for p in probs:
  20.         if p > 0.:
  21.             ent -= p * math.log(p, base)
  22.     return ent############################ interesting buffer heuristicsdef enumerate_interesting_buffers(a:malcat.Analysis, section_name:str, prefixed_buffer:bool = False):
  23.     section = a.map[section_name]

  24.     # get all incoming xref in the section: denotates the start of a buffer
  25.     data_xrefs = [x.address for x in a.xref[section.start:section.end]]

  26.     for i in range(1, len(data_xrefs) - 1): # let's assume the first and last xrefs will never be interesting
  27.         prev, cur, next = data_xrefs[i-1:i+2]
  28.         prev_off = a.a2p(prev)
  29.         cur_off = a.a2p(cur)
  30.         next_off = a.a2p(next)

  31.         if prefixed_buffer and cur - prev == 2:
  32.             # is it a size-prefixed buffer ? (i.e. there is a referenced word 2 bytes before)
  33.             size, = struct.unpack("<H", a.file[prev_off:cur_off])
  34.             yield cur, size
  35.         elif not prefixed_buffer:
  36.             # we'll look for all immediate constants in referencing functions and see which one could be a size
  37.             for fn in get_all_referencing_functions(a, cur):
  38.                 for basic_block in fn:
  39.                     if not basic_block.code:
  40.                         continue
  41.                     for instruction in basic_block:
  42.                         for operand in instruction:
  43.                             if operand.value and operand.value > 0x10 and cur + operand.value <= next and next - (cur + operand.value) < 0x20:
  44.                                 yield cur, operand.value############################ strings decryptiondef get_potential_strings_triples(a:malcat.Analysis):
  45.     # Here we will look for 3 buffers referenced from the same function:
  46.     # one is the strings, one the xor key, one the aes password

  47.     function_to_refs = {}
  48.     done = set()

  49.     # group all interesting buffers by referencing functions
  50.     for address, size in enumerate_interesting_buffers(a, ".data", prefixed_buffer=False):
  51.         if size < 0x20:
  52.             continue
  53.         # find all reference coming from functions
  54.         for fn in get_all_referencing_functions(a, address):
  55.             function_to_refs.setdefault(fn.address, []).append((address, size))

  56.     # now try to find a function referencing 3 interesting buffers
  57.     for fn_address, by_function in function_to_refs.items():
  58.         if len(by_function) < 3:
  59.             # there should be at least 3 references to candidate buffers inside one function
  60.             continue
  61.         # we don't know which is one is the data, xor key or aes password: try all permutations of triples
  62.         for candidate_triple in itertools.permutations(by_function, r=3):
  63.             if not candidate_triple in done:
  64.                 done.add(candidate_triple)
  65.                 yield candidate_tripledef get_strings_arrays(a:malcat.Analysis):
  66.     res = []
  67.     # tries to decrypt all string arrays candidates
  68.     for strings, xor, aes_password in get_potential_strings_triples(a):

  69.         print(f"Trying strings=({a.ppa(strings[0])}, {hex(strings[1])}), xor=({a.ppa(xor[0])}, {hex(xor[1])}), aes_password=({a.ppa(aes_password[0])}, {hex(aes_password[1])}) ... ", end="")

  70.         try:
  71.             # decrypt XOR key using AES
  72.             xor_address, xor_size = xor
  73.             xor_offset = a.a2p(xor_address)
  74.             xor_buffer = a.file[xor_offset: xor_offset + xor_size]

  75.             aes_address, aes_size = aes_password
  76.             aes_offset = a.a2p(aes_address)
  77.             aes_buffer = a.file[aes_offset: aes_offset + aes_size]

  78.             xor_key = decrypt_aes_iv_prefix(xor_buffer, aes_buffer)

  79.             # decrypt strings using XOR key         
  80.             strings_address, strings_size = strings
  81.             strings_offset = a.a2p(strings_address)
  82.             strings_buffer = a.file[strings_offset: strings_offset + strings_size]

  83.             strings_decrypted = CircularXor().run(strings_buffer, key=xor_key).decode("utf8")
  84.             all_strings = strings_decrypted.split("\x00")

  85.             res.append(all_strings)
  86.             print(f"Found {len(all_strings)} strings !")

  87.         except BaseException as e:
  88.             print(f"{e} :(")

  89.     return res############################ config extractiondef qakbot_config_extraction(a:malcat.Analysis):
  90.     print("Running heuristic to find string arrays ...")
  91.     config_password = None
  92.     strings_1 = []

  93.     # find string arrays
  94.     for string_array in get_strings_arrays(a):
  95.         print(f"\nFound one string array of {len(string_array)} strings:")
  96.         print("\n".join(string_array))
  97.         if "ipconfig /all" in string_array:
  98.             strings_1 = string_array
  99.         print()

  100.     ips = []
  101.     options = {}
  102.     config_passwords = []

  103.     # try to find endpoint
  104.     for s in strings_1:
  105.         if re.match(r"^/[a-zA-Z0-9_%?=&-]{2,16}[        DISCUZ_CODE_0        ]quot;, s):
  106.             options["http_endpoint"] = s
  107.             break

  108.     # try to find password candidates: high-entropy, good length, not a lot of space or backslaches
  109.     for s in strings_1:
  110.         if len(s) > 30 and len(s) < 60 and entropy(s) > 4 and s.count(" ") < 2 and s.count("\") < 2:
  111.             config_passwords.append(s)
  112.     print(f"Found {len(config_passwords)} password candidates: {', '.join(config_passwords)}")

  113.     # ok now try to look for prefixed buffers:
  114.     for address, size in enumerate_interesting_buffers(a, ".data", prefixed_buffer=True):

  115.         # and try to decrypt using our password candidates
  116.         for config_password in config_passwords:
  117.             print(f"Trying config decryption for {a.ppa(address)}, {hex(size)}) with password {config_password} ... ", end="")
  118.             try:
  119.                 offset = a.a2p(address)
  120.                 buffer = a.file[offset:offset+size]

  121.                 # AES decrypt the buffer (skip blob identifer)
  122.                 decrypted = decrypt_aes_iv_prefix(buffer[1:], config_password.encode("ascii"))

  123.                 # verify checksum
  124.                 checksum = decrypted[:32]
  125.                 data = decrypted[32:]
  126.                 if hashlib.sha256(data).digest() != checksum:
  127.                     raise ValueError("Invalid blob checksum")

  128.                 # looks like campaign info?
  129.                 if data.count(b"=") >= 2:
  130.                     data = data.decode("ascii").replace("\r", "")
  131.                     d = dict([x.split("=") for x in data.split("\n") if x.strip()])
  132.                     print(f"Found config dictionnary with  {len(d)} entries!")
  133.                     for k, v in d.items():
  134.                         if k == "10":
  135.                             k = "campaign_id"
  136.                         elif k == "3":
  137.                             k = "date"
  138.                             v = datetime.datetime.fromtimestamp(int(v)).isoformat()
  139.                         options[k] = v

  140.                 # looks like campaign IPs list?
  141.                 elif data.startswith(b"\x01"):
  142.                     for i in range(0, len(data), 8):
  143.                         type, ip, port,_ = struct.unpack_from(">B4sHB", data, i)
  144.                         if type != 1:
  145.                             raise ValueError(f"Unknown CNC format {type}")
  146.                         ip = ".".join(map(str, struct.unpack("BBBB", ip)))
  147.                         ips.append((ip, port))
  148.                     print ("Found IPs !")

  149.                 else:
  150.                     print("Unknwon config data")

  151.             except Exception as e:
  152.                 print(f"{e} :(")

  153.     return {
  154.         "cncs": ips,
  155.         "options": options,
  156.     }################################ MAINif __name__ == "__main__":

  157.     config = qakbot_config_extraction(analysis)

  158.     print("\nQAKBOT_CONFIG = ", end="")
  159.     print(json.dumps(config, indent=4))
复制代码


结果对照分析样本
当运行最后阶段cldapi.dll 时,脚本将输出类似下面的内容:
  1. Running heuristic to find string arrays ...
  2. Trying strings=(0x180028150 (.data:150), 0x63), xor=(0x180028150 (.data:150), 0x63), aes_password=(0x180028150 (.data:150), 0x58) ... Data must be padded to 16 byte boundary in CBC mode :(
  3. Trying strings=(0x180028150 (.data:150), 0x63), xor=(0x180028150 (.data:150), 0x63), aes_password=(0x180028150 (.data:150), 0x60) ... Data must be padded to 16 byte boundary in CBC mode :(
  4. Trying strings=(0x1800297a0 (.data:17a0), 0x1836), xor=(0x18002afe0 (.data:2fe0), 0xa0), aes_password=(0x180029700 (.data:1700), 0x9f) ... Found 185 strings !
  5. Trying strings=(0x18002afe0 (.data:2fe0), 0xa0), xor=(0x18002afe0 (.data:2fe0), 0xa0), aes_password=(0x1800297a0 (.data:17a0), 0x1836) ... Padding is incorrect. :(
  6. ...
  7. Trying strings=(0x18002afe0 (.data:2fe0), 0xa0), xor=(0x18002afe0 (.data:2fe0), 0xa0), aes_password=(0x18002afe0 (.data:2fe0), 0x9f) ... Padding is incorrect. :(
  8. Trying strings=(0x18002b190 (.data:3190), 0x9c0), xor=(0x18002b190 (.data:3190), 0x9c0), aes_password=(0x18002b190 (.data:3190), 0x9c0) ... Padding is incorrect. :(

  9. Found one string array of 52 strings:
  10. SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
  11. ProgramData
  12. netstat -nao
  13. %s "$%s = "%s"; & $%s"
  14. ...

  15. Found one string array of 185 strings:
  16. %SystemRoot%\SysWOW64\xwizard.exe
  17. .dat
  18. kernelbase.dll
  19. WBJ_IGNORE
  20. mpr.dll
  21. ...

  22. Found 2 password candidates: T2X!wWMVH1UkMHD7SBdbgfgXrNBd(5dmRNbBI9, 4Lm7DW&yMF*ELN4D8oNp0CtKUf*C2LAstORIBV

  23. Trying config decryption for 0x180028852 (.data:852), 0x51) with password T2X!wWMVH1UkMHD7SBdbgfgXrNBd(5dmRNbBI9 ... Found IPs !
  24. Trying config decryption for 0x180028852 (.data:852), 0x51) with password 4Lm7DW&yMF*ELN4D8oNp0CtKUf*C2LAstORIBV ... Padding is incorrect. :(
  25. Trying config decryption for 0x180029022 (.data:1022), 0x51) with password T2X!wWMVH1UkMHD7SBdbgfgXrNBd(5dmRNbBI9 ... Found config dictionnary with 3 entries!
  26. Trying config decryption for 0x180029022 (.data:1022), 0x51) with password 4Lm7DW&yMF*ELN4D8oNp0CtKUf*C2LAstORIBV ... Padding is incorrect. :(

  27. QAKBOT_CONFIG = {
  28.     "cncs": [
  29.         [
  30.             "31.210.173.10",
  31.             443
  32.         ],
  33.         [
  34.             "185.156.172.62",
  35.             443
  36.         ],
  37.         [
  38.             "185.113.8.123",
  39.             443
  40.         ]
  41.     ],
  42.     "options": {
  43.         "http_endpoint": "/teorema505",
  44.         "campaign_id": "tchk08",
  45.         "40": "1",
  46.         "date": "2024-01-31T15:22:34"
  47.     }
  48. }
复制代码

它很有效!

与另一个样本对比
但是,该提取脚本对其他样本也有效吗?让六合彩用在 Malpedia 上找到的另一个去除保护的 Qakbot 样本试试:
  1. Running heuristic to find string arrays ...
  2. Trying strings=(0x140028150 (.data:150), 0x80), xor=(0x140028150 (.data:150), 0x80), aes_password=(0x1400281e0 (.data:1e0), 0x94) ... 'utf-8' codec can't decode byte 0xad in position 0: invalid start byte :(
  3. Trying strings=(0x140028150 (.data:150), 0x80), xor=(0x140028150 (.data:150), 0x80), aes_password=(0x140028280 (.data:280), 0x5b5) ... Padding is incorrect. :(
  4. Trying strings=(0x140028150 (.data:150), 0x80), xor=(0x1400281e0 (.data:1e0), 0x94), aes_password=(0x140028150 (.data:150), 0x80) ... Data must be padded to 16 byte boundary in CBC mode :(
  5. Trying strings=(0x140028150 (.data:150), 0x80), xor=(0x1400281e0 (.data:1e0), 0x94), aes_password=(0x1400281e0 (.data:1e0), 0x94) ... Data must be padded to 16 byte boundary in CBC mode :(
  6. Trying strings=(0x140029620 (.data:1620), 0x1825), xor=(0x1400294c0 (.data:14c0), 0xc0), aes_password=(0x140029590 (.data:1590), 0x87) ... Found 185 strings !
  7. ...
  8. Trying strings=(0x14002b220 (.data:3220), 0x9c0), xor=(0x14002b220 (.data:3220), 0x9c0), aes_password=(0x14002b220 (.data:3220), 0x9c0) ... unsupported operand type(s) for +: 'NoneType' and 'int' :(

  9. Found one string array of 52 strings:
  10. Component_08
  11. Self test FAILED!!!
  12. route print
  13. whoami /all
  14. ...

  15. Found one string array of 185 strings:
  16. kernelbase.dll
  17. mcshield.exe
  18. wmic process call create 'expand "%S" "%S"'
  19. SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths
  20. %ProgramFiles%\Internet Explorer\iexplore.exe
  21. %SystemRoot%\SysWOW64\xwizard.exe
  22. ...

  23. Found 2 password candidates: 4Lm7DW&yMF*ELN4D8oNp0CtKUf*C2LAstORIBV, ArpBUw9Lb9ndqXhFTfBst9YHotv92LB7BKvK#ewZn@@@Tu

  24. Trying config decryption for 0x140028842 (.data:842), 0x61) with password 4Lm7DW&yMF*ELN4D8oNp0CtKUf*C2LAstORIBV ... Padding is incorrect. :(
  25. Trying config decryption for 0x140028842 (.data:842), 0x61) with password ArpBUw9Lb9ndqXhFTfBst9YHotv92LB7BKvK#ewZn@@@Tu ... Found IPs !
  26. Trying config decryption for 0x140029012 (.data:1012), 0x51) with password 4Lm7DW&yMF*ELN4D8oNp0CtKUf*C2LAstORIBV ... PKCS#7 padding is incorrect. :(
  27. Trying config decryption for 0x140029012 (.data:1012), 0x51) with password ArpBUw9Lb9ndqXhFTfBst9YHotv92LB7BKvK#ewZn@@@Tu ... Found config dictionnary with 2 entries!

  28. QAKBOT_CONFIG = {
  29.     "cncs": [
  30.         [
  31.             "146.70.158.28",
  32.             6882
  33.         ],
  34.         [
  35.             "116.202.110.87",
  36.             443
  37.         ],
  38.         [
  39.             "77.73.39.175",
  40.             32103
  41.         ],
  42.         [
  43.             "185.156.172.62",
  44.             443
  45.         ],
  46.         [
  47.             "185.117.90.142",
  48.             6882
  49.         ]
  50.     ],
  51.     "options": {
  52.         "http_endpoint": "/teorema505",
  53.         "campaign_id": "bmw01",
  54.         "date": "2024-01-26T12:25:33"
  55.     }
  56. }
复制代码


它也能正常工作!请注意,两个字符串数组中的字符串在不同样本中的排序是不同的。

结论
在这篇博文中,六合彩学习了如何利用 Malcat 的文件解析器和数据转换来解压多层 MSI 安装程序,直至最终的 Qakbot 样本。坚持纯静态分析,并着重强调数据分析,六合彩看到了如何解密 Qakbot 的字符串数组并解码其命令和控制配置。最后,通过使用 Malcat 的 python 绑定,六合彩编写了一个功能完备的静态配置提取器。该提取器脚本不使用任何代码签名,也不使用任何硬编码值,因此有望在未来的更改中保持稳定。
希望大家喜欢这次的解包/脚本编写过程。希望 Qakbot 配置提取器对您今后的分析工作有所帮助。和往常一样,欢迎与六合彩分享您的意见或建议!


回复

使用道具 举报

您需要登录后才可以回帖 登录 | [立即注册]

本版积分规则

快速回复 返回顶部 返回列表