当前位置：首页 > news >正文

全新后门文件Nev-3.exe分析

news 文章来源：https://blog.csdn.net/text2206/article/details/129248913 2024/11/18 0:47:49

一、样本发现：

蜜罐

二、内容简介：

通过公司的蜜罐告警发现一个Nev-3.exe可执行文件文件，对该样本文件进行分析发现，该可执行程序执行后会从远程服务器http://194.146.84.2:4395/下载一个名为“3”的压缩包，解压后也是Nev-3.exe文件，文件下载地址194.146.84.2在微步威胁情报社区查询后，发现发现两个通信样本Nev-3.exe、记录表d3.rar，经过分析两个样本行为人特征一致。样本运行后释放到目录“C:\Users\Public\Music\”
下，随后执行目录中的恶意文件 AntiAdwa.exe，AntiAdwa运行后会向服务端发送保活连接，等待服务端下发指令，从而实现远程控制行为。

三、分析研判

3.1 样本获取

蜜罐下载样本文件Nev-3.exe，文件hash值如下：

md5: de1cde20941be48bcf6c2b6b663393a2

sha1: 0a8b22faee05998b05169e0e6190108c6d72021d

sha256: 1142e91de910f5cc3c6bda635b990d6c28142b1818fd21ccb1257b77b75338f8

1651713743_627326cfe6c6b9da896e7.png!small?1651713756034

图1 样本示例

该样本在微步在线情报IOC已被标记为恶意软件（高危）。

1651713779_627326f3a8bdc333de0ef.png!small?1651713791827

图2 样本威胁情报IOC查询

3.2 样本分析

（1）静态分析

使用IDA
打开进行分析后发现Nev-3.exe是一个加载程序，文件运行后会产生一个无运行界面的掩藏程序，该进程的主要作用是判断进程中是否存在AntiAdwa.exe进程。

1651713806_6273270e2d75f866288e9.png!small?1651713818223

图3 样本程序入口函数

1651713822_6273271ecae821c535e02.png!small?1651713834896

图4 程序自动检测是否存在AntiAdwa.exe进程

如果不存在存在AntiAdwa.exe进程，则从远程文件服务器：194.146.84.2：4395下载文件。

1651713836_6273272ca23f748ec4d8a.png!small?1651713848781

图5 样本内置远程C2地址194.146.84.2:4395

（2）使用wireshark抓包分析。

将Nev-3.exe程序在本地运行后，使用wireshark进行抓包可看见有大量的可疑tcp连接。

1651713856_62732740dfc9f86f21282.png!small?1651713869869

图6 本地运行样本程序抓流量包，也发现C2地址194.146.84.2

分析连接网络流量，可以发现网络流量请求数据包作用就是从远程文件服务器（194.146.84.2）下载一个文件名为“3”的文件，具体数据包如下所示：

1651713870_6273274edb0dc8ad5fe10.png!small?1651713883056

图7 样本会自动下载http://194.146.84.2:4395/3文件

打开文件服务器http://194.146.84.2:4395/可看见上面存有可疑文件，下载文件名为“3”的文件。

1651713884_6273275c406b730b20b87.png!small?1651713896270

图8 运行样本流量发现请求http://194.146.84.2:4395/3验证

“3”这个文件里面包含了AntiAdwa.exe、Excep.tct、svchost.txt、rundll3222.exe四个文件。

1651713899_6273276b196a8d4f14af5.png!small?1651713911101

图9 木马文件地址http://194.146.84.2:4395/3下载文件

AntiAdwa.exe下载后会创建一个名为“AntiAdwa.exe”的新进程，文件执行后会结束Nev-3.exe进程。

1651713912_62732778810df0c8eed06.png!small?1651713924546

图10 子样本程序AntiAdwa.exe运行偶进程

使用文件管理工具everything在本机上搜索“AntiAdwa.exe”在路径“C:\Users\Public\Music\1650357864”下发现了Nev-3.exe进程下载解压后的四个文件。

1651713947_6273279becc6df1445f89.png!small?1651713960045

图11 AntiAdwa.exe归属为Nev-3.exe解压后文件夹

通过沙箱对AntiAdwa.exe文件分析定义为Generic木马家族的灰色软件。

1651713960_627327a826b58bdee91f1.png!small?1651713972239

图12 AntiAdwa.exe程序情报查询

通过查看本地连接信息可以发现，进程id为3180对ip地址193.84.248.67的1022端口发送了syn请求，而3180所对应的进程是AntiAdwa.exe运行后的进程id。

1651713971_627327b33b830afd154f5.png!small?1651713983228

图13 AntiAdwa.exe运行后进程

使用wireshark抓包后可以看见程序与远程服务器的大量tcp连接，被控端通过长链接（keep-alive）与服务端保持联系，数据包每隔20秒发送一次。

1651713982_627327bebd3794665e5ec.png!small?1651713995065

图14 抓包发现C2地址 193.84.248.67

当服务端发现被控端上线后开始下发指令，双方开始互传数据。从追踪的流特征可以发现，数据包伪装成360安全卫士木马查杀模块进行数据传输，所传输的数据都被加密具体数据包如下：

1651713992_627327c8114403bbea4e6.png!small?1651714004198
图15 与C2地址通信被加密，并伪装为360安全卫士

1651714002_627327d2438ea07bd4879.png!small?1651714014491

图16 与C2地址通信被伪装为360安全卫士

在微步在线情报社区查询193.84.248.67地址情报信息：

威胁情报查询发现两个通信样本Nev-3.exe、记录表d3.rar：

1651714026_627327eaf34518c3c8b6d.png!small?1651714039402

图17 C2地址威胁情报IOC查询，发现“记录表d3.rar”文件

下载记录表d3.rar样本，使用压缩软件打开后可以看到一个可执行文件，“记录表d3.exe”，其 hash值为：

SHA256 ：
b72acf4b6a14655e8583b209b60c2bf0177af1e40ffa4765523cd9bbbad48451

1651714039_627327f790d3b8768ff91.png!small?1651714052129

图18 C2地址关联“记录表d3.rar”文件样本

运行该文件后在C:\Users\Public\Music\1650357235目录下释放了四个文件。

1651714048_627328007fad528269e93.png!small?1651714061131

图19 “记录表d3.exe”文件运行后进程

1651714058_6273280a6778ea2b85193.png!small?1651714070479

图20 “记录表d3.exe”文件进程所在目录

使用IDA工具打开进行静态分析，其特征和Nev-3.exe一致。

1651714071_6273281702e73a5dcfbe2.png!small?1651714083293

图21 C2关联的“记录表d3.exe”与本次样本Nev-3.exe特征一致

结合其运行特征和静态特征来看，记录表d3.exe和Nev-3.exe是功能相同的文件。

（3）进程跟踪分析

在虚拟机中运行Nev-3.exe，对其进程进行跟踪分析其行为特征。
1、在C:\Users\Public\Music\目录下创建一个文件夹

1651714095_6273282f4fd40506736a8.png!small?1651714107481

图22 Nev-3.exe样本运行后会创建新文件夹

2、创建tcp连接下载文件名为“3”的文件，保存为2.rar
1651714104_62732838e7f1ad07af797.png!small?1651714116969

图23 从木马文件地址下载“3”文件，保存为2.rar

下载文件名为“77”的文件，保存为exe

1651714141_6273285ddf77e15e48136.png!small?1651714153964

1651714146_6273286298cac067515e1.png!small?1651714158727

图24 从木马文件地址下载“77”文件，保存为7z.exe

执行exe解压下载好的2.rar文件
图25 执行7.exe解压下载好的2.rar文件
复制文件txt、rundll3222.exe、svchost.txt到C:\ProgramData\目录下，并把except.txt重命名为360.dll（伪装为360杀毒软件的库文件）。
图26

6、运行AntiAdwa.exe并加载excep.txt文件随后删除下载好的2.rar和7.exe文件。随后结束Nev3.exe的进程。
1651714246_627328c69dd619c7069ab.png!small?1651714258664 1651714303_627328ff868eca6848bbf.png!small
图27
7、加载svchost.txt文件

1651714345_627329290f43e82a95d97.png!small
8、创建ini.ini文件

1651714364_6273293cdb5193e53f2e6.png!small?1651714376971

9、创建jdi文件夹后创建一个名为“11111”的快捷方式、释放文件jdivip.exe、per510.dll到C:\ProgramData目录下。
1651714370_62732942ba88162ad7aa2.png!small?1651714382849 1651714378_6273294a10ad0c742e072.png!small?1651714390075

10、创建压缩文件1.zip和ark.x64.dll文件随后删除

1651714391_62732957c330f4836e40f.png!small?1651714403841 1651714397_6273295d7fc1d2a1022c2.png!small?1651714409715
11、每隔20秒向服务端发送一次保活连接

1651714403_6273296370498b8eabc33.png!small?1651714415699

12、当服务端下发指令后双方开始互发数据

1651714415_6273296f599641a8851aa.png!small?1651714427667

在AntiAdwa.exe运行后加载了svchost.txt，使用IDA工具对其进行静态分析，可发现其对多种浏览器和杀毒软件进行了数据收集。

1651714702_62732a8e19edbe0110bb3.png!small?1651714714304 加载svchost.txt

1651714690_62732a829fd06f3672749.png!small?1651714702859

浏览器信息收集

1651714674_62732a72ea323a1144064.png!small?1651714687142 杀毒软件信息收集

IOC 情报

C2地址：193.84.248.67

木马文件地址：194.146.84.2:4395

四、应对策略

把涉及的通信地址加入黑名单。

当发现计划任务中存在exe进程时，及时关闭进程。

删除“C:\Users\Public\Music\”
目录下的可疑文件夹；删除“C:\ProgramData\目录下”的dll、rundll3222.exe、svchost.txt；删除“C:\ProgramData”目录下的jdivip.exe、per510.dll。

最后

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供：

当然除了有配套的视频，同时也为大家整理了各种文档和书籍资料&工具，并且已经帮大家分好类了。

因篇幅有限，仅展示部分资料，有需要的小伙伴，可以【扫下方二维码】免费领取：