Redaman银行木马分析报告

访客 2019年05月09日 19:27 281 0

本文来源:熊猫正正

一、样本简介

Redaman是一款著名的银行木马，该恶意软件最初于2015年被发现，最初被称为RTM银行木马，Redaman的目标是窃取银行凭证和其他数据，用于传播Redaman的垃圾邮件具有文件附件，这些文件附件是伪装成PDF文档的Windows可执行文件，或者以.zip，7-zip，.rar或.gz,gzip存档的形式发送，俄罗斯接受者是目前的主要焦点，然而美国、荷兰、瑞典、日本、哈萨克斯坦、芬兰、德国、奥地利和西班牙的个人也成为攻击目标，笔者针对去年十月份的一款Redaman银行木马样本进行详细分析。

二、详细分析

1.样本图片伪装成PDF文档，如下所示：

Redaman银行木马分析报告-第1张图片-网盾网络安全培训

2.创建互斥变量，防止程序多次运行，如下所示：

Redaman银行木马分析报告-第2张图片-网盾网络安全培训

3.Redaman样本使用了病毒自注入式外壳技术，动态调试先解密出相应的Payload，如下所示：

Redaman银行木马分析报告-第3张图片-网盾网络安全培训

4.然后通过自注入技术注入代码，再跳转到注入的代码，如下所示：

Redaman银行木马分析报告-第4张图片-网盾网络安全培训

5.解密出来的Payload代码，如下所示：

Redaman银行木马分析报告-第5张图片-网盾网络安全培训

6.异或解密0x00403000处的数据，如下所示：

Redaman银行木马分析报告-第6张图片-网盾网络安全培训

需要解密的数据，如下所示：

Redaman银行木马分析报告-第7张图片-网盾网络安全培训

7.通过RtlDecompressBuffer再次解密之前的数据，如下所示：

Redaman银行木马分析报告-第8张图片-网盾网络安全培训

解密完成之后，得到Payload2(DLL)如下所示：

Redaman银行木马分析报告-第9张图片-网盾网络安全培训 8.在Temp目录下生成随机名tmp文件，文件属性为：系统隐藏，如下所示：

Redaman银行木马分析报告-第10张图片-网盾网络安全培训

然后将之前解密出来的Payload2的数据写入到tmp文件中，如下所示：

Redaman银行木马分析报告-第11张图片-网盾网络安全培训

9.通过LoadLibraryW加载Payload2，如下所示：

Redaman银行木马分析报告-第12张图片-网盾网络安全培训 Payload2的代码，如下所示：

Redaman银行木马分析报告-第13张图片-网盾网络安全培训

10.检测进程信息，如果为以下进程信息，如下所示：

t.exe、myapp.exe、self.exe

如果进程包含上述进程，则触发相应的异常退出程序，如下所示：

Redaman银行木马分析报告-第14张图片-网盾网络安全培训

11.沙箱运行环境文件检测，检测主机上以下目录或文件(C盘或D盘)，如下所示：

C:\cuckoo、D:\cuckoo

C:\fake_drive、D:\fake_drive

C:\strawberry、D:\strawberry

C:\tsl、D:\tsl

C:\targets.xls、D:\targets.xls

C:\prel、D:\prel

C:\wget.exe、D:\wget.exe

C:\*python*、D:\*python*

如果存在上述任何文件或目录，则触发相应的异常退出程序，如下所示：

Redaman银行木马分析报告-第15张图片-网盾网络安全培训触发异常的代码，如下所示：

Redaman银行木马分析报告-第16张图片-网盾网络安全培训

异常触发之后，退出程序，如下所示：

Redaman银行木马分析报告-第17张图片-网盾网络安全培训

12.沙箱运行环境进程检测，遍历进程，检测主机上相关进程，如下所示：

Redaman银行木马分析报告-第18张图片-网盾网络安全培训如果主机上存在vboxservice.exe和python.exe两个进程，则触发异常，退出程序，如下所示：

Redaman银行木马分析报告-第19张图片-网盾网络安全培训比较进程的操作，如下所示：

Redaman银行木马分析报告-第20张图片-网盾网络安全培训 12.通过Payload2的导出函数DllGetClassObject调用host 000000000000参数执行，如下所示：

Redaman银行木马分析报告-第21张图片-网盾网络安全培训 13.获取事件对象句柄，如下所示：

Redaman银行木马分析报告-第22张图片-网盾网络安全培训如果获取失败，则创建相应的进程句柄，如下所示：

Redaman银行木马分析报告-第23张图片-网盾网络安全培训 14.获取当前运行进程权限，如下所示：

Redaman银行木马分析报告-第24张图片-网盾网络安全培训 15.在C:\ProgramData目录下创建一个随机命令的文件夹，如下所示：

Redaman银行木马分析报告-第25张图片-网盾网络安全培训然后将DLL随机命令拷贝到该文件夹下，如下所示：

Redaman银行木马分析报告-第26张图片-网盾网络安全培训拷贝的相应的文件目录，如下所示：

Redaman银行木马分析报告-第27张图片-网盾网络安全培训创建windows计划任务启动项，进行持久化操作，如下所示：

Redaman银行木马分析报告-第28张图片-网盾网络安全培训创建的计划任务，如下所示：

Redaman银行木马分析报告-第29张图片-网盾网络安全培训执行计划任务之后，如下所示：

Redaman银行木马分析报告-第30张图片-网盾网络安全培训 16.设置应用层事件钩子，监控浏览器活动，如下所示：

Redaman银行木马分析报告-第31张图片-网盾网络安全培训相应的事件函数，如下所示：

Redaman银行木马分析报告-第32张图片-网盾网络安全培训 17.获取剪贴板的数据，如下所示：

Redaman银行木马分析报告-第33张图片-网盾网络安全培训 18.捕获Windows桌面的屏幕截图，如下所示：

Redaman银行木马分析报告-第34张图片-网盾网络安全培训 19.通过DDE进行数据传输，下载等，如下所示：

Redaman银行木马分析报告-第35张图片-网盾网络安全培训 20.遍历主机，收集相关的数据文件，如下所示：

Redaman银行木马分析报告-第36张图片-网盾网络安全培训 21.进程提权，如下所示：

Redaman银行木马分析报告-第37张图片-网盾网络安全培训关闭主机，如下所示：

Redaman银行木马分析报告-第38张图片-网盾网络安全培训 22.捕获到的数据流量，如下所示：

Redaman银行木马分析报告-第39张图片-网盾网络安全培训

Redaman银行木马分析报告-第40张图片-网盾网络安全培训

三、总结

根据笔者近期的观察，银行木马家族一直都非常活跃，包括：Emotet、TrickBot、Ursnif(Gozi)、Redaman、Osiris、Pegasus、Panda等家族，笔者之前已详细分析过Emotet、TrickBot、Ursnif等银行木马，可以在网上搜索到相应的分析文章，不同的银行木马使用的恶意代码技术都不同，银行木类木马主要针对一些大型的金融或银行企业进行定点攻击，攻击的方式大多数以邮件附件的形式进行传播，请金融行业的各大企业做好相应的防范准备工作，银行木马一般都比较复杂，分析起来较为费时，笔者分析的样本是去年十月份的一个样本，有兴趣的读者可以自行下载样本进行分析研究，样本从https://www.malware-traffic-analysis.net/ 网站下载的，链接：https://www.malware-traffic-analysis.net/2018/10/02/index.html