本帖最后由 梦幻的彼岸 于 2023-11-24 15:50 编辑
翻译:梦幻的彼岸 在本篇文章中,我们将演示 Garbageman 分析工具。Garbageman 是一款 .NET 分析工具,可用于从打包或混淆的 .NET 恶意软件中获取信息。 这里有一篇关于 Garbageman 内部结构的精彩博客。简而言之,Garbageman 可以拦截 .NET 的内存管理组件,并保存信息以供将来分析之用。 利用这一点,我们可以轻松获取在基于 .NET 的恶意软件执行过程中临时分配到内存中的 c2 信息。 相关文件链接初步分析在下载并解压该文件,密码:infected。我们可以使用 detect-it-easy 观察到,该文件是一个 32 位 .NET 可执行文件,已经使用 Confuser 进行了混淆处理。
Confuser 及其衍生产品 ConfuserEx是一种相对复杂的混淆器,增加.NET 可执行文件的分析难度。
使用 DnSpy 进行初步分析由于知道该可执行文件基于 .NET,我们可以尝试使用常用的 .NET 分析工具 DnSpy 对其进行分析。 使用 DnSpy,我们可以看到该文件被混淆了,可能需要大量的手动分析才能进一步通过手动方法提取 c2信息。
使用Garbageman 分析在确认样本基于 .NET 并且混淆得相当好之后,我们就可以使用 Garbageman 对文件进行分析了。 我们的主要目标是尝试提取 C2 地址。我们不会尝试完全解除样本的混淆或确定其全部功能。 为此,我们可以安装 Garbageman 工具并附加恶意软件进程。 为了最大限度地获得 C2,我们希望从头到尾观察恶意软件。因此,我们要使用 "Execute "来启动一个新副本,而不是将其附加到恶意软件的现有运行副本上。 选择执行选项后,我们可以指定恶意软件文件的路径。 我们还需要指定要拍摄的快照数量。这主要是告诉 Garbageman 我们希望它扫描多少次以查找解密内容。 一般来说,3 次是个不错的数字,间隔时间为 1000 毫秒(1 秒)。这样 Garbageman 就会执行文件,等待 500 毫秒,然后每隔 1 秒扫描一次解密内容。 不同的样本会受益于更多的快照或更长/更短的时间间隔。三次快照,间隔 1000 毫秒是一个很好的起点,但你需要针对不同的样本尝试不同的值。 选定这些参数后,我们就可以 "开始 "执行了。 几秒钟后,我们就可以开始查看恶意软件执行过程中获得的字符串。 默认情况下,只显示第一个快照的内容。一般来说,我们希望先查看 "最后 "一个快照,然后再向后查看。 我们可以将快照改为snapshot #3 来解决这个问题 如果恶意软件在执行的几秒钟内解密、访问或创建了任何 C2 字符串。那么 C2 字符串就会包含在显示的窗口中。 这样做的问题是,单个快照中包含了近 20000 个字符串和对象。如果事先不知道 C2 可能是什么样子,手动滚动浏览既不方便也很慢。 使用 Garbageman 扫描 C2在这个阶段,我们可能已经有了 C2 字符串,但它混杂在大约 20000 个其他字符串中。 要解决这个问题,我们可以使用 Garbageman 搜索获取数据中的 URL 或 IP 字符串。 我们可以使用Tools -> Search -> Network -> Urls 执行 URL/C2 字符串搜索。 虽然有一个 IP 地址选项,但它只能搜索 IP 对象,而不一定能搜索 IP 字符串。现在我们可以只使用 Urls 选项。 执行 Url 搜索后,我们会看到一个 IP 地址 5.42.92[.]51,端口号 19057,它在文件中出现了 3 次。 既然我们现在有了一个可疑的 IP,我们就可以使用 Garbageman 进行搜索,找出其他出现过的 IP。 通过搜索 IP 值,我们可以观察到共有 11 个 IP 地址被引用。 我们还可以在 Virustotal 上搜索该 IP,以确定该 IP 是否曾出现过。在 Virustotal 上搜索该 IP 会返回 12/88 条搜索结果。
| 
IP卡
发表于 2023-11-24 15:03:45
提升卡
置顶卡
变色卡
千斤顶
显身卡
发表于 2023-11-24 19:55:44
发表于 2023-11-24 21:36:08
