:::info 專題主題 : 情資運用及惡意程式分析 組別: M1-(林旺豪、吳承翰、李佳軒) [PPT檢視版]() ::: --- ## Information - **SHA256:** 449d9e29d49dea9697c9a84bb7cc68b50343014d9e14667875a83cade9adbc60 - **FirstSeen:** 2023-04-09 06:45:51 UTC (較新的惡意程式) - **Type:** RedlineStealer(on MalwareBazaar), Avadey (after analyzing) ## 分析程式 ### 【使用DIE查看檔案的特徵與屬性】 - 可以發現這個程式是一個CABfile，可以再繼續利用解壓縮檔案提去其他執行檔。  使用DIE中的Entropy功能查看此檔案的亂度，若是亂度高則有較高機率為惡意程式。 ## Any Run   [Ruuning the malware](https://app.any.run/tasks/818cd04b-e635-406b-be6c-6fb385cdeaae)   [Running the unpacked malware directly](https://app.any.run/tasks/9352eae8-0619-4787-9ca0-bddda3d75e84) ## 逆向工程開始(你逆你逆) ### 1. 【Detect It Easy 進行初始惡意軟體分析】 這可以說明檔案是 32 位元可執行文件。在此案例中，它事實上是一個Microsoft Cabinet 文件(CAB)。這本質上是.zip 可以作為.exe文件執行的。  ### 2. 【提取隱藏CAB後的其他文件】 能夠使用 7zip 提取內容，且在此過程中創建兩個新的 exe 文件。如圖所示，這些是si684017.exe在un007241.exe下面的螢幕截圖。  - 重點在「si684017.exe」 ### 3. 【分析文件是否藏有「加殼程式」】 如果懷疑含有packed的Payload，應專注於unpacking而不是字符串或其他靜態分析。 為了確定entropy區域，可以利用了 Detect-it-easy 中的 Entropy Graph 功能。  - 如上圖表示，file有著非常高的Entropy。這可以是一個指標，說明文件是一個packed loader，而不是最後的Payload。 - 根據DIE檢測，此file是一個「常見」.exe文件，而不是.NET文件。下一步則是使用X32dgb繼續解壓縮文件。 ### 4. 【使用 Ghidra Search For Strings 搜索特定字符串】  ### 5. 【過濾==】 經過搜尋以過濾==，很快地可以將結果範圍縮小到需識別的Base64字符串。雖然不是所有相關的字符串，但也是一個好的開始!  ### 6. 【識別 Ghidra 中可能的字符串解密函數】       ## A .net file - `rk728794.exe` is a file extracted from the malware. - It is a `.net` file according to DIE  ### can we analyze this? use **dnspy** to analyze  important information is confused, so we try to use confuserEx Unpacker to unpack.  ## **Tracing IP** ### **shodan** - **YeezyHost Hosting:** - 似乎是一個芬蘭的vps系統 - **ISP:** Daniil Yevchenko - 來自俄羅斯 ### **Virustotal**