Redaman银行木马分析报告 – 作者:熊猫正正

一、样本简介

Redaman是一款著名的银行木马，该恶意软件最初于2015年被发现，最初被称为RTM银行木马，Redaman的目标是窃取银行凭证和其他数据，用于传播Redaman的垃圾邮件具有文件附件，这些文件附件是伪装成PDF文档的Windows可执行文件，或者以.zip，7-zip，.rar或.gz,gzip存档的形式发送，俄罗斯接受者是目前的主要焦点， 然而美国、荷兰、瑞典、日本、哈萨克斯坦、芬兰、德国、奥地利和西班牙的个人也成为攻击目标，笔者针对去年十月份的一款Redaman银行木马样本进行详细分析。 

二、详细分析

1.样本图片伪装成PDF文档，如下所示：

2.创建互斥变量，防止程序多次运行，如下所示：

3.Redaman样本使用了病毒自注入式外壳技术，动态调试先解密出相应的Payload，如下所示：

4.然后通过自注入技术注入代码，再跳转到注入的代码，如下所示：

5.解密出来的Payload代码，如下所示：

6.异或解密0x00403000处的数据，如下所示：

需要解密的数据，如下所示：

7.通过RtlDecompressBuffer再次解密之前的数据，如下所示：

解密完成之后，得到Payload2(DLL)如下所示：

8.在Temp目录下生成随机名tmp文件，文件属性为：系统隐藏，如下所示：

然后将之前解密出来的Payload2的数据写入到tmp文件中，如下所示：

9.通过LoadLibraryW加载Payload2，如下所示：

Payload2的代码，如下所示：

10.检测进程信息，如果为以下进程信息，如下所示：

t.exe、myapp.exe、self.exe

如果进程包含上述进程，则触发相应的异常退出程序，如下所示：

11.沙箱运行环境文件检测，检测主机上以下目录或文件(C盘或D盘)，如下所示：

C:\cuckoo、D:\cuckoo

C:\fake_drive、D:\fake_drive

C:\strawberry、D:\strawberry

C:\tsl、D:\tsl

C:\targets.xls、D:\targets.xls

C:\prel、D:\prel

C:\wget.exe、D:\wget.exe

C:\*python*、D:\*python*

如果存在上述任何文件或目录，则触发相应的异常退出程序，如下所示：

触发异常的代码，如下所示：

异常触发之后，退出程序，如下所示：

12.沙箱运行环境进程检测，遍历进程，检测主机上相关进程，如下所示：

如果主机上存在vboxservice.exe和python.exe两个进程，则触发异常，退出程序，如下所示：

比较进程的操作，如下所示：

12.通过Payload2的导出函数DllGetClassObject调用host 000000000000参数执行，如下所示：

13.获取事件对象句柄，如下所示：

如果获取失败，则创建相应的进程句柄，如下所示：

14.获取当前运行进程权限，如下所示：

15.在C:\ProgramData目录下创建一个随机命令的文件夹，如下所示：

然后将DLL随机命令拷贝到该文件夹下，如下所示：

拷贝的相应的文件目录，如下所示：

创建windows计划任务启动项，进行持久化操作，如下所示：

创建的计划任务，如下所示：

执行计划任务之后，如下所示：

16.设置应用层事件钩子，监控浏览器活动，如下所示：

相应的事件函数，如下所示：

17.获取剪贴板的数据，如下所示：

18.捕获Windows桌面的屏幕截图，如下所示：

19.通过DDE进行数据传输，下载等，如下所示：

20.遍历主机，收集相关的数据文件，如下所示：

21.进程提权，如下所示：

关闭主机，如下所示：

22.捕获到的数据流量，如下所示：

三、总结

根据笔者近期的观察，银行木马家族一直都非常活跃，包括：Emotet、TrickBot、Ursnif(Gozi)、Redaman、Osiris、Pegasus、Panda等家族，笔者之前已详细分析过Emotet、TrickBot、Ursnif等银行木马，可以在网上搜索到相应的分析文章，不同的银行木马使用的恶意代码技术都不同，银行木类木马主要针对一些大型的金融或银行企业进行定点攻击，攻击的方式大多数以邮件附件的形式进行传播，请金融行业的各大企业做好相应的防范准备工作，银行木马一般都比较复杂，分析起来较为费时，笔者分析的样本是去年十月份的一个样本，有兴趣的读者可以自行下载样本进行分析研究，样本从https://www.malware-traffic-analysis.net/  网站下载的，链接：https://www.malware-traffic-analysis.net/2018/10/02/index.html

四、相关IOC

MD5:

AAF09EFE05112B58BF441526F8E510BC

IP:

104.24.106.23

5.135.183.146

91.92.136.133

185.141.61.246

来源：freebuf.com 2019-05-09 19:27:25 by: 熊猫正正