从England.sys(md5为B5F7DE342B1D661E57BCD14615CADEFA)驱动文件中提取了4个dll文件,其中两个64位dll,两个32位dll,主要用于APC注入
样本的基本信息
文件名称: 0x3df60-0x15e00.dll
文件大小: 87.5 KB (89,600 字节)
Link date: 11:43 2017/11/10
MD5: 24e9cc3fc2a95898bc99e17c8c8a0501
SHA1: 0ae113e7607e280f58d9d5ce99fff3b59fa20587
pdb路径:e:\BaiduNetdiskDownload\driverone20171110\Release\demodll64.pdb
文件名称: 0x23d00-0x19e00.dll
文件大小: 103 KB (105,984 字节)
Link date: 11:40 2017/11/10
MD5: 0da3c732313fdf561dd542ae988cbe76
SHA1: 5e7d78b58586b43f74ead3f223aeb09d95b1c20a
pdb路径:e:\BaiduNetdiskDownload\driverone20171110\Release\demodll64.pdb
文件名称: 0x53d60-0x11600.dll
文件大小: 69.5 KB (71,168 字节)
Link date: 11:43 2017/11/10
MD5: c3a2b51a98a12289a0346b50d833802f
SHA1: 3e5498d948400253b544c347ae7f079a0ab8dfa5
path路径:E:\BaiduNetdiskDownload\driverone20171110\Release\demodll32.pdb
文件名称: 0xe900-0x15400.dll
文件大小: 85.0 KB (87,040 字节)
MD5: f10fc5093338a6259a90c54a5a8e69c5
SHA1: 11fd59c3dd45649c27fd1fa07492d0d264dedea9
Link date: 11:40 2017/11/10
pdb路径:E:\BaiduNetdiskDownload\driverone20171110\Release\demodll32.pdb
这四个样本其实是两个版本 编译时间分别 为11:40 2017/11/10和11:43 2017/11/10,功能上大同小异
下面我们分析一下0xe900-0x15400.dll这个动态库
0xe900-0x15400.dll
dll的入口,首先获取当前模块名称和当前进程的路径,从配置文件(%appdata%\Maybach\config.ini)读取了两个开关变量lk和qh,匹配安全软件和常用的浏览器程序,如下图所示。
当用户打开上图中的浏览器进程的话,该dll关闭主进程,重新创建并启动一个新进程,进程的启动参数为 浏览器路径+跳转网址
这个跳转网址是是从配置文件中读取解密出来的,并且有一个默认值,对于QQ浏览器、2345加速浏览器、2345chrome浏览器,默认跳转的网址为 http://106.75.84.24/pg/html1,对于其它的浏览器跳转到 http://www.dn2018.com
若当前程序为 搜狗浏览器、UC浏览器、遨游浏览器的话,会打开IE浏览器
http://106.75.84.24/pg/html1 和 http://www.dn2018.com 都会跳转到2345的导航页,如下图所示。
sub_10002340是解密函数,解密的逻辑的比较简单,用C语言可以很容易实现,代码如下
#include <stdio.h>
#include <windows.h>
typedef wchar_t _WORD;
// 对src的内容进行解密,保存在dst中
int DecodeString_10002340(_WORD *dst, _WORD *src, unsigned int src_len)
{
unsigned int v3; // esi
int v4; // ecx
__int16 v5; // dx
v3 = 0;
if ( src_len )
{
v4 = (char *)src - (char *)dst;
do
{
switch ( v3 & 7 )
{
case 0u:
v5 = *(_WORD *)((char *)dst + v4) - 1;
goto LABEL_12;
case 1u:
v5 = *(_WORD *)((char *)dst + v4) - 2;
goto LABEL_12;
case 2u:
v5 = *(_WORD *)((char *)dst + v4) - 3;
goto LABEL_12;
case 3u:
v5 = *(_WORD *)((char *)dst + v4) - 4;
goto LABEL_12;
case 4u:
v5 = *(_WORD *)((char *)dst + v4) - 5;
goto LABEL_12;
case 5u:
v5 = *(_WORD *)((char *)dst + v4) - 6;
goto LABEL_12;
case 6u:
v5 = *(_WORD *)((char *)dst + v4) - 7;
goto LABEL_12;
case 7u:
v5 = *(_WORD *)((char *)dst + v4) - 8;
LABEL_12:
*dst = v5;
break;
default:
break;
}
++v3;
++dst;
}
while ( v3 < src_len );
}
return 1;
}
int main(){
char src1[] = "\x69\x00\x76\x00\x77\x00\x74\x00\x3F\x00\x35\x00\x36\x00\x7F\x00\x78\x00\x79\x00\x31\x00\x68\x00\x73\x00\x38\x00\x37\x00\x39\x00\x39\x00\x30\x00\x66\x00\x73\x00\x72\x00\x00\x00";
wchar_t* src = (wchar_t*)src1;
wchar_t dst[512] = {0};
DecodeString_10002340(dst,src,wcslen(src));
printf("%ws\n",dst);
return 0;
}
若当前程序为资源管理器的话,开启了三个线程
第一个线程从http://163.44.150.179/pz/config_gz.ini下载一个配置文件保存为%appdata%\Maybach\config.ini
第二个线程从从配置文件中读取一系列变量,名为u1-30和j1-30,解密链接后发送给驱动,控制码为0x9C402408,从配置文件中读取denylist解密后发送给驱动,控制码为0xF8267A9B,驱动的符号链接名为\\.\xxxxxx,驱动的程序还需要进一步分析
第三个进程从配置文件中读取了d1u1,dlu2,dlu3这三个字符串,是三个链接,解密后从下载文件保存为%appdata%/Maybach/[随机数].dll,解密后加载执行
小结
其它的样本同上面的样本功能基本相同,通过分析,提取出以下IOC信息
驱动的符号链接名 \\.\xxxxxx
url
http://163.44.150.179/pz/config_gz.ini
http://106.75.84.24/pg/html1
http://www.dn2018.com
文件路径
%appdata%\Maybach\
%appdata%\Maybach\config.ini
%appdata%/dlzeng/config.ini
注册表
HKEY_LOCAL_MACHINE\software\driverone2019\time
HKEY_LOCAL_MACHINE\SOFTWARE\driverone2019\start
这是一个灰产驱动释放的dll,主要是用于apc注入到目标进程,会拦截浏览器进程,修改浏览器的启动参数,打开2345导航页面,2345真流氓。
