依靠ProcessHollowing和编码引入感柒法律认可程序：消息盗取恶意程序FormBook剖析

简述

FormBook是1个消息盗取种类的恶意程序。与大部分更多信息盗取类恶意程序相同，它在布署到受害人的电脑上时，会实行很多使用来躲避反病毒生产商商品的检验。这样的话，如同人们在Ursnif、Hancitor、Dridex和别的病毒中见到的那般，有很多变种能够根据各种方法接受Payload。

在回首过去中，威协形为者最常见的派发FormBook恶意程序的方式是依靠故意垂钓邮箱并运用CVE-2017-8570木马病毒。具体而言，网络攻击会应用包括恶意代码的.RTF格式文件来运用这一木马病毒。

在文中中，我将重中之重关心故意Payload，并深入分析该恶意程序的形为和IoC。

FormBook应用的反剖析工艺

最先，人们先从FormBook怎样阻拦恶意程序探讨工作员调节和剖析恶意程序开使。人们参照了别的探讨工作员的剖析成效，知道FormBook最先会遍历受害人服务器上已经运作的程序。假如存有一切加入黑名单的程序，那麼Payload将会终止感柒电脑。

该恶意程序应用了很多的反剖析工艺，比如：失信名单中的程序目录、虚拟机检验体制、运存中字符串搞混等，这种全是为了避免配备中的memdump，进而避免被安会探讨工作员发觉有关的字符串。

下边是文中中提及的某些加入黑名单中的程序。必须留意的是，此外，恶意程序还会搜索VMWare和Parallels虚拟机案例，这二种虚拟机常有将会会被探讨工作员应用：

Vmtoolsd.exe, vmwareservice.exe, vmwareuser.exe, vboxservice.exe, vboxtray.exe, netmon.exe, Sandboxiedcomlaunch.exe, Sandboxierpcss.exe, procmon.exe, filemon.exe, wireshark.exe, prl_tools_service.exe, vmsrvc.exe, Vmusrvc.exe, python.exe, perl.exe, regmon.exe

以便应用procmon开展时件捕捉，我挑选了“开启起动日记纪录”（Enable boot logging）选择项，这样一来，就会为procmon建立业务和控制器内容，直到到时候起动。这将容许procmon在到时候冷启动捕捉体系时件：

C:\Windows\System32\drivers\PROCMON24.SYS

运作FormBook Payload

如今，人们能够实行Payload，并剖析其运作流程。我在VZ中随意挑选了1个样版。

SHA-1：ecb7b646b21e4940b9e68b55722f7755057c933c

在服务器上布署Payload后，人们就能够查询其程序树：

1.png

它是它在起动后的模样：

2.png

必须留意的是，在全部感柒链中，全是用了法律认可的程序。它是根据程序缕空（Process Hollowing）和编码引入来保持的。

在每一次运作时，包含重启时，程序树都是大不一样。这种程序中早已被引入编码，而且可以实行恶意程序的作用。

下边是FormBook用以躲避检验所应用的法律认可程序目录（部位）：

taskhost.exe, explorer.exe, svchost.exe, dwm.exe, cscript.exe, netstat.exe, raserver.exe, wscript.exe, wuapp.exe, cmd.exe, ipconfig.exe, lsass.exe, rundll32.exe, msdt.exe, mstsc.exe, msiexec.exe, systray.exe, audiodg.exe, wininit.exe, services.exe, autochk.exe, autoconv.exe, autofmt.exe, cmstp.exe, wuauclt.exe, napstat.exe, lsm.exe, netsh.exe, chkdsk.exe, msg.exe, nbtstat.exe, spoolsv.exe, rdpclip.exe, control.exe

FormBook恶意程序布署步骤

我以Admin客户身分运作了样版Payload。

在准备期，Payload在%appdata%\local\temp\subfolder文件夹中推广了explorer.vbs脚本及其另外名叫explorer.exe的MZ。这样的话，这并非真实的资源管理器，如同人们依据文档哈希值见到的那般：

SHA-1：dbaf9e4fc18d8744d5ee9d80bf7f4ef6e2d18bf7

这儿，人们能够查询.vbs文档的內容，及其加上注册表值的指令。

3.j