如何利用PNG像素隱藏PE代碼分析PNGDropper新樣本

本篇文章給大家分享的是有關如何利用PNG像素隱藏PE代碼分析PNG Dropper新樣本，小編覺得挺實用的，因此分享給大家學習，希望大家閱讀完這篇文章后可以有所收獲，話不多說，跟著小編一起來看看吧。

創(chuàng)新互聯(lián)建站專注于新市企業(yè)網(wǎng)站建設,響應式網(wǎng)站開發(fā),商城系統(tǒng)網(wǎng)站開發(fā)。新市網(wǎng)站建設公司,為新市等地區(qū)提供建站服務。全流程按需求定制制作，專業(yè)設計，全程項目跟蹤，創(chuàng)新互聯(lián)建站專業(yè)和態(tài)度為您提供的服務

我們將跟大家介紹Turla組織研發(fā)和使用的PNG Dropper惡意軟件。在2017年8月份，沉寂已久的PNG Dropper重返人們的視野，而且當時它主要用來傳播Snake，但近期研究人員又檢測到了攜帶新型Payload的PNG Dropper樣本，NCC Group的研究人員也將這個樣本命名為了RegRunnerSvc。

PNG Dropper

Carbon Black的研究團隊此前已經(jīng)對PNG Dropper組件進行了非常詳細的分析【分析報告】，但我們還是簡單回顧一下它的工作機制吧！

Dropper的目的是為了加載和運行一個隱藏在多個PNG文件中的PE文件。上圖顯示的是Dropper的資源數(shù)據(jù)，我們可以看到有多個代碼數(shù)據(jù)資源入口標記有“PNG”的字樣。其中每一個資源都是一個有效的PNG文件，不過打開之后你看到的只是部分彩色像素：

PNG使用了微軟的GDI+庫進行加載，下圖中我們可以看到，代碼會調(diào)用LockBits來從PNG文件中讀取像素數(shù)據(jù)。像素數(shù)據(jù)的每一個字節(jié)都代表了每一個像素的RGB值。對每一個RGB值進行編碼之后我們就能得到PE文件的字節(jié)數(shù)據(jù)了。

每一個PNG資源都會被枚舉，像素數(shù)據(jù)也都會被提取出來，最終會進行拼接，而最后生成的完整PE文件會存儲在內(nèi)存中。接下來，Dropper需要手動加載PE文，然后執(zhí)行PE文件的入口函數(shù)：

RegRunnerSvc

PNG Dropper會利用其PNG資源解碼并運行RegRunnerSvc，而RegRunnerSvc的目的就是從注冊表中提取加密Payload，并將其加載進內(nèi)存，然后運行。下圖顯示的是RegRunnerSvc的入口點，這里我們可以看到，代碼調(diào)用了StartServiceCtrlDispatcher，目標服務名稱為WerFaultSvc（還負責實現(xiàn)惡意軟件的持久感染），很明顯攻擊者是想讓惡意服務偽裝成合法的Windows錯誤報告服務。

服務設置函數(shù)執(zhí)行后，就需要找出注冊表中的目標數(shù)據(jù)了。一般來說，注冊表路徑會保存在代碼里的一個字符串中，但是PNG Dropper卻不是，因為它會使用RegEnumKeyExA和RegEnumValueA函數(shù)來枚舉注冊表鍵-值。

注冊表中的數(shù)據(jù)包含加密Payload以及解密所需的數(shù)據(jù)。雖然其中不包含解密密鑰，但是它包含了用于生成解密密鑰所需的信息，而其中的部分數(shù)據(jù)使用了微軟的CNG庫函數(shù)（NCrypt*）來進行加密。第一階段的Dropper將生成解密密鑰并存儲在系統(tǒng)默認密鑰存儲器中，這里使用的是“MicrosoftSoftware Key Storage Provider”。如果第一階段的Dropper運行不成功，那么密鑰將無法生成和存儲，因此解密函數(shù)將會退出。下面給出的是解密數(shù)據(jù)的二進制數(shù)據(jù)結構：

Header解密成功后，我們就可以進行第二階段的解密操作了。主Payload使用了AES算法進行加密。首先，代碼會將一段注冊表數(shù)據(jù)傳遞給BCryptGenerateSymmetricKey函數(shù)，此時AES解密密鑰便創(chuàng)建成功了。密鑰生成之后，解密屬性便設置成功，Payload即可解密成功。接下來，代碼會對解密后的Payload進行檢測，以確保PE文件的有效性。如果檢測通過，文件將會被加載，入口點將會被調(diào)用。

總結

在這篇文章中，我們對Turla組織所使用的新型PNG Dropper進行了分析。該組織目前也在配合RegRunnerSvc這個新組件來實施攻擊，RegRunnerSvc可以從注冊表中提取和加密PE文件，并對其進行解密和運行。目測，該組織是從無文件型惡意軟件那里得到的靈感，比如說Poweliks和Kovter，而他們的目標就是為了在代碼文件內(nèi)盡可能地不留下攻擊證據(jù)。

除此之外，我們還開發(fā)出了一款專門從PNG Dropper中提取Payload的工具，并且將其開源，感興趣的同學可以下載學習：【下載地址】。

Yara規(guī)則

rule turla_png_dropper {    meta:        author = "Ben Humphrey"        description = "Detects the PNGDropper used by the Turla group"       sha256 ="6ed939f59476fd31dc4d99e96136e928fbd88aec0d9c59846092c0e93a3c0e27"     strings:        $api0 = "GdiplusStartup"        $api1 = "GdipAlloc"        $api2 ="GdipCreateBitmapFromStreamICM"        $api3 = "GdipBitmapLockBits"        $api4 = "GdipGetImageWidth"        $api5 = "GdipGetImageHeight"        $api6 = "GdiplusShutdown"         $code32 = {            8B 46 3C               // mov     eax, [esi+3Ch]            B9 0B 01 00 00         // mov     ecx, 10Bh            66 39 4C 30 18         // cmp     [eax+esi+18h], cx            8B 44 30 28            // mov     eax, [eax+esi+28h]            6A 00                  // push    0            B9 AF BE AD DE         // mov     ecx, 0DEADBEAFh            51                     // push    ecx            51                     // push    ecx            03 C6                  // add     eax, esi            56                     // push    esi            FF D0                  // call eax        }         $code64 = {           48 63 43 3C            // movsxdrax, dword ptr [rbx+3Ch]            B9 0B 01 00 00         // mov ecx, 10Bh            BA AF BE AD DE         // mov edx, 0DEADBEAFh            66 39 4C 18 18         // cmp [rax+rbx+18h], cx            8B 44 18 28            // mov eax, [rax+rbx+28h]            45 33 C9               // xor r9d, r9d            44 8B C2               // mov r8d, edx            48 8B CB               // mov rcx, rbx            48 03 C3               // add rax, rbx            FF D0                  // call rax        }     condition:        (uint16(0) == 0x5A4D anduint16(uint32(0x3c)) == 0x4550) and        all of ($api*) and        1 of ($code*)}

rule turla_png_reg_enum_payload {      meta:                author = "BenHumphrey"                description = "Payloadthat has most recently been dropped by theTurlaPNG Dropper"               shas256 ="fea27eb2e939e930c8617dcf64366d1649988f30555f6ee9cd09fe54e4bc22b3"       strings:          $crypt00 = "Microsoft SoftwareKey Storage Provider" wide          $crypt01 ="ChainingModeCBC" wide          $crypt02 = "AES" wide       condition:          (uint16(0) == 0x5A4D anduint16(uint32(0x3c)) == 0x4550) and          pe.imports("advapi32.dll","StartServiceCtrlDispatcherA") and          pe.imports("advapi32.dll","RegEnumValueA") and          pe.imports("advapi32.dll","RegEnumKeyExA") and          pe.imports("ncrypt.dll","NCryptOpenStorageProvider") and          pe.imports("ncrypt.dll","NCryptEnumKeys") and          pe.imports("ncrypt.dll","NCryptOpenKey") and          pe.imports("ncrypt.dll","NCryptDecrypt") and          pe.imports("ncrypt.dll","BCryptGenerateSymmetricKey") and          pe.imports("ncrypt.dll","BCryptGetProperty") and          pe.imports("ncrypt.dll","BCryptDecrypt") and          pe.imports("ncrypt.dll","BCryptEncrypt") and          all of them}

入侵威脅指標

樣本分析：

1、6ed939f59476fd31dc4d99e96136e928fbd88aec0d9c59846092c0e93a3c0e27(PNG Dropper)2、fea27eb2e939e930c8617dcf64366d1649988f30555f6ee9cd09fe54e4bc22b3(從PNG dropper中獲取到的Payload)

服務：

1、WerFaultSvc

以上就是如何利用PNG像素隱藏PE代碼分析PNG Dropper新樣本，小編相信有部分知識點可能是我們?nèi)粘９ぷ鲿姷交蛴玫降?。希望你能通過這篇文章學到更多知識。更多詳情敬請關注創(chuàng)新互聯(lián)行業(yè)資訊頻道。

網(wǎng)站標題：如何利用PNG像素隱藏PE代碼分析PNGDropper新樣本
URL標題：http://muchs.cn/article18/isjgdp.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供定制開發(fā)、面包屑導航、網(wǎng)頁設計公司、商城網(wǎng)站、微信小程序、企業(yè)建站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉載內(nèi)容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)