avatar

目录
Png Dropper

Png Dropper

Png Dropper是Turla所使用的PE文件加载器,将PE隐藏在图片中并从图片中加载执行PE文件,最初在2017年由Carbon Black研究人员首次发现。早在2017年,Turla组织使用该工具用来分发Snake,最近在VirusTotal捕获到了一个在12-2日上传的Png Dropper样本。

JPEGView - 501bd993dd68e24e479c6e8bf55cee9e

样本是一个64位exe,无壳,C/C++,资源中有很多图片,应该为要解密的PE文件

创建互斥量”JPVMtX2869”

读取图片宽高,读取图片像素点RGB值

解密出一个PE文件,然后直接跳转到PE文件的main函数开始执行

Png Dropper执行到这里就结束了,后续解密的文件会获取驱动“VBoxDrv.sys”

尝试与”\\.\VBobDrv”通信

发送ControlCode 0x228204给驱动,验证驱动返回值“The Magic Word!”

这里使用的为Turla Driver Loader(TDL)技术,绕过DES加载为驱动签名,但是在前阶段未能获取到释放的驱动程序。

文章作者: Yenn_
文章链接: https://0xdf1001f.github.io/2020/12/03/Png-Dropper/
版权声明: 本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 Wei's Blog

评论