0%

关于可疑域名exrnybuf.cn的溯源分析报告

关于可疑域名exrnybuf.cn的溯源分析报告

概述

2019年09月16日,stxletto检测到一起指向exrnybuf.cn的可疑域名访问事件。从捕获的流量数据初步来看,属于伪装成GIF文件下载的C&C行为。

图-1

在终端EDR反馈的信息中,

图-2

发现可疑的请求来自C:\Windows\Explorer.EXE进程。通过函数调用栈,我们追溯到一个动态链接库文件JZipMenu64.dll。

图-3

通过JZipMenu64.dll所在路径,我们在关联到多个可疑进程。JYTool.exe和JYCheck.exe在VirusTotal上1/68的恶意样本检出率。

图-4

同时也发现了可疑的注册表项。

进一步分析,带有数字签名的PE文件JZipMenu64.dll。

名称 JZipMenu64.dll
大小 773,016 字节
MD5 87e110a5ca39a6b6afec3788577c9622
SHA256 eb6c95e43c458ca300041ce452b18ff5b5a84b1711ba5e3f260216d8961c3565
数字签名 Shanghai Shen Wei Wang Luo Ke Ji You Xian Gong Si(有效期2018/04/11~2019/04/12)

图-5
JZipMenu64.dll是Winds平台下的shell扩展动态库,负责用户在右键点击时,显示解压菜单。
但分析显示在其DllMain中加载动态库后会自动执行的4处可疑代码块。

图-6
1)使用GetPrivateProfileStringW获取main.ini中的配置。

图-7
2)检测宿主进程名是否为main.ini中sys节Exp变量设定的进程名一致,不一致则退出执行流程。

图-8
3)创建名为“jianya_dothing_mutex”的mutex,以实现执行实例唯一性。

图-9
图-10
4)创建新线程执行JYCheck.exe及获取config.db文件(即前文所述的GIF文件)。

图-11
图-12

JYCheck.exe访问的URL。

图-13

主要用于流量统计。

图-14

2.0版本的GIF路径。

图-15
图-16
从特定的URL下载文件到本地的临时目录C:\Users\xx\AppData\Local\Temp\JY\config.db

图-17
经分析config.db是经过base64编码的配置文件。

图-18
图-19
Unicode转化

图-20
Base64解码

图-21
经Unicode转化、Base64解码、zip解压后即可得其明文文本。

图-22
路径为C:\Users\Administrator\AppData\Roaming\JYZip\main.ini的配置文件。

图-23
JYTool.exe通过传递的命令行参数(mini、news、tips、appupdui),执行对应ini文件中的块的配置。

图-24

值得特别注意的是notexc字段指定的进程名列表,是常见的抓包、分析、调试、安全等软件,notextip是若干地区的ip。

图-25
图-26

当jianya_appupdui.exe读取这些配置时,就会根据配置决定是否继续执行流程。

图-27

Exe字段是静默推广安装的9款软件。当然其所有者可以在远程服务器的配置文件分发任意载荷。
另外,考虑其获取C&C配置的协议、压缩\加密方式,也容易被劫持并下发任意推广安装指令。

综述

图-28
综上所述,从在系统中持久化存在方式、获取配置文件方式、对抗分析的方式及核心功能实现上来看,“简压”是一款对7-zip进行过度商业包装的风险软件。不建议企业客户使用。

------ 安全边界,过犹不及。正文结束,感谢观赏。 ------
你看到的我
是哪一种颜色,悲伤或快乐
我偶尔沉默,但也勇敢执着
热血依然沸腾着我的脉搏