Png Dropper
Png Dropper是Turla所使用的PE文件加载器,将PE隐藏在图片中并从图片中加载执行PE文件,最初在2017年由Carbon Black研究人员首次发现。早在2017年,Turla组织使用该工具用来分发Snake,最近在VirusTotal捕获到了一个在12-2日上传的Png Dropper样本。
JPEGView - 501bd993dd68e24e479c6e8bf55cee9e
样本是一个64位exe,无壳,C/C++,资源中有很多图片,应该为要解密的PE文件
创建互斥量”JPVMtX2869”
读取图片宽高,读取图片像素点RGB值
解密出一个PE文件,然后直接跳转到PE文件的main函数开始执行
Png Dropper执行到这里就结束了,后续解密的文件会获取驱动“VBoxDrv.sys”
尝试与”\\.\VBobDrv”通信
发送ControlCode 0x228204给驱动,验证驱动返回值“The Magic Word!”
这里使用的为Turla Driver Loader(TDL)技术,绕过DES加载为驱动签名,但是在前阶段未能获取到释放的驱动程序。