搜索

[13613] 2019-01-04_利用PNG像素隐藏PE代码:分析PNGDropper新样本

文档创建者:s7ckTeam
浏览次数:19
最后更新:2025-01-18
2019-01-04_利用PNG像素隐藏PE代码:分析PNGDropper新样本 P N G P E P N G   D r o p p e r A l p h a _ h 4 c k   F r e e B u f   2 0 1 9 - 0 1 - 0 4 T u r l a 使 使 P N G   D r o p p e r 2 0 1 7 8 P N G   D r o p p e r S n a k e P a y l o a d P N G   D r o p p e r N C C   G r o u p R e g R u n n e r S v c P N G   D r o p p e r C a r b o n   B l a c k P N G   D r o p p e r D r o p p e r P N G P E D r o p p e r P N G P N G P N G 使 G D I + L o c k B i t s P N G R G B R G B P E
P N G P E D r o p p e r P E P E R e g R u n n e r S v c P N G   D r o p p e r P N G R e g R u n n e r S v c R e g R u n n e r S v c P a y l o a d R e g R u n n e r S v c S t a r t S e r v i c e C t r l D i s p a t c h e r W e r F a u l t S v c W i n d o w s P N G   D r o p p e r 使 R e g E n u m K e y E x A R e g E n u m V a l u e A -
P a y l o a d 使 C N G N C r y p t * D r o p p e r 使 M i c r o s o f t S o f t w a r e   K e y   S t o r a g e   P r o v i d e r D r o p p e r 退 H e a d e r P a y l o a d 使 A E S B C r y p t G e n e r a t e S y m m e t r i c K e y A E S 便 便 P a y l o a d P a y l o a d P E
T u r l a 使 P N G   D r o p p e r R e g R u n n e r S v c R e g R u n n e r S v c P E P o w e l i k s K o v t e r P N G   D r o p p e r P a y l o a d Y a r a h t t p s : / / w w w . c a r b o n b l a c k . c o m / 2 0 1 7 / 0 8 / 1 8 / t h r e a t - a n a l y s i s - c a r b o n - b l a c k - t h r e a t - r e s e a r c h - d i s s e c t s - p n g - d r o p p e r / * n c c g r o u p F B A l p h a _ h 4 c k F r e e B u f . C O M r u l e   t u r l a _ p n g _ d r o p p e r   {         m e t a :                 a u t h o r   =   " B e n   H u m p h r e y "                 d e s c r i p t i o n   =   " D e t e c t s   t h e   P N G D r o p p e r   u s e d   b y   t h e   T u r l a   g r o u p "               s h a 2 5 6   =   " 6 e d 9 3 9 f 5 9 4 7 6 f d 3 1 d c 4 d 9 9 e 9 6 1 3 6 e 9 2 8 f b d 8 8 a e c 0 d 9 c 5 9 8 4 6 0 9 2 c 0 e 9 3 a 3 c 0 e 2 7 "           s t r i n g s :                 $ a p i 0   =   " G d i p l u s S t a r t u p "                 $ a p i 1   =   " G d i p A l l o c "                 $ a p i 2   = " G d i p C r e a t e B i t m a p F r o m S t r e a m I C M "                 $ a p i 3   =   " G d i p B i t m a p L o c k B i t s "                 $ a p i 4   =   " G d i p G e t I m a g e W i d t h "                 $ a p i 5   =   " G d i p G e t I m a g e H e i g h t "                 $ a p i 6   =   " G d i p l u s S h u t d o w n "                   $ c o d e 3 2   =   {                         8 B   4 6   3 C                               / /   m o v           e a x ,   [ e s i + 3 C h ]                         B 9   0 B   0 1   0 0   0 0                   / /   m o v           e c x ,   1 0 B h                         6 6   3 9   4 C   3 0   1 8                   / /   c m p           [ e a x + e s i + 1 8 h ] ,   c x                         8 B   4 4   3 0   2 8                         / /   m o v           e a x ,   [ e a x + e s i + 2 8 h ]                         6 A   0 0                                     / /   p u s h         0                         B 9   A F   B E   A D   D E                   / /   m o v           e c x ,   0 D E A D B E A F h                         5 1                                           / /   p u s h         e c x                         5 1                                           / /   p u s h         e c x                         0 3   C 6                                     / /   a d d           e a x ,   e s i                         5 6                                           / /   p u s h         e s i                         F F   D 0                                     / /   c a l l   e a x                 }                   $ c o d e 6 4   =   {                       4 8   6 3   4 3   3 C                         / /   m o v s x d r a x ,   d w o r d   p t r   [ r b x + 3 C h ]                         B 9   0 B   0 1   0 0   0 0                   / /   m o v   e c x ,   1 0 B h                         B A   A F   B E   A D   D E                   / /   m o v   e d x ,   0 D E A D B E A F h                         6 6   3 9   4 C   1 8   1 8                   / /   c m p   [ r a x + r b x + 1 8 h ] ,   c x                         8 B   4 4   1 8   2 8                         / /   m o v   e a x ,   [ r a x + r b x + 2 8 h ]                         4 5   3 3   C 9                               / /   x o r   r 9 d ,   r 9 d                         4 4   8 B   C 2                               / /   m o v   r 8 d ,   e d x                         4 8   8 B   C B                               / /   m o v   r c x ,   r b x                         4 8   0 3   C 3                               / /   a d d   r a x ,   r b x                         F F   D 0                                     / /   c a l l   r a x                 }           c o n d i t i o n :                 ( u i n t 1 6 ( 0 )   = =   0 x 5 A 4 D   a n d u i n t 1 6 ( u i n t 3 2 ( 0 x 3 c ) )   = =   0 x 4 5 5 0 )   a n d                 a l l   o f   ( $ a p i * )   a n d                   1   o f   ( $ c o d e * ) } r u l e   t u r l a _ p n g _ r e g _ e n u m _ p a y l o a d   {             m e t a :                                 a u t h o r   =   " B e n H u m p h r e y "                                 d e s c r i p t i o n   =   " P a y l o a d t h a t   h a s   m o s t   r e c e n t l y   b e e n   d r o p p e d   b y   t h e T u r l a P N G   D r o p p e r "                               s h a s 2 5 6   = " f e a 2 7 e b 2 e 9 3 9 e 9 3 0 c 8 6 1 7 d c f 6 4 3 6 6 d 1 6 4 9 9 8 8 f 3 0 5 5 5 f 6 e e 9 c d 0 9 f e 5 4 e 4 b c 2 2 b 3 "               s t r i n g s :                     $ c r y p t 0 0   =   " M i c r o s o f t   S o f t w a r e K e y   S t o r a g e   P r o v i d e r "   w i d e                     $ c r y p t 0 1   = " C h a i n i n g M o d e C B C "   w i d e                     $ c r y p t 0 2   =   " A E S "   w i d e               c o n d i t i o n :                     ( u i n t 1 6 ( 0 )   = =   0 x 5 A 4 D   a n d u i n t 1 6 ( u i n t 3 2 ( 0 x 3 c ) )   = =   0 x 4 5 5 0 )   a n d                     p e . i m p o r t s ( " a d v a p i 3 2 . d l l " , " S t a r t S e r v i c e C t r l D i s p a t c h e r A " )   a n d                       p e . i m p o r t s ( " a d v a p i 3 2 . d l l " , " R e g E n u m V a l u e A " )   a n d                       p e . i m p o r t s ( " a d v a p i 3 2 . d l l " , " R e g E n u m K e y E x A " )   a n d                       p e . i m p o r t s ( " n c r y p t . d l l " , " N C r y p t O p e n S t o r a g e P r o v i d e r " )   a n d                       p e . i m p o r t s ( " n c r y p t . d l l " , " N C r y p t E n u m K e y s " )   a n d                       p e . i m p o r t s ( " n c r y p t . d l l " , " N C r y p t O p e n K e y " )   a n d                       p e . i m p o r t s ( " n c r y p t . d l l " , " N C r y p t D e c r y p t " )   a n d                     p e . i m p o r t s ( " n c r y p t . d l l " , " B C r y p t G e n e r a t e S y m m e t r i c K e y " )   a n d                       p e . i m p o r t s ( " n c r y p t . d l l " , " B C r y p t G e t P r o p e r t y " )   a n d                       p e . i m p o r t s ( " n c r y p t . d l l " , " B C r y p t D e c r y p t " )   a n d                       p e . i m p o r t s ( " n c r y p t . d l l " , " B C r y p t E n c r y p t " )   a n d                       a l l   o f   t h e m } 1 6 e d 9 3 9 f 5 9 4 7 6 f d 3 1 d c 4 d 9 9 e 9 6 1 3 6 e 9 2 8 f b d 8 8 a e c 0 d 9 c 5 9 8 4 6 0 9 2 c 0 e 9 3 a 3 c 0 e 2 7 ( P N G   D r o p p e r ) 2 f e a 2 7 e b 2 e 9 3 9 e 9 3 0 c 8 6 1 7 d c f 6 4 3 6 6 d 1 6 4 9 9 8 8 f 3 0 5 5 5 f 6 e e 9 c d 0 9 f e 5 4 e 4 b c 2 2 b 3 ( P N G   d r o p p e r P a y l o a d ) 1 W e r F a u l t S v c

回复

举报

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver| 手机版| 小黑屋|
Powered by Discuz! X3.4 Copyright © 2001-2020, Tencent Cloud. 商业源码建议获取授权,如侵犯您的权益,请联系客服处理