Png Dropper

Png Dropper是Turla所使用的PE文件加载器，将PE隐藏在图片中并从图片中加载执行PE文件，最初在2017年由Carbon Black研究人员首次发现。早在2017年，Turla组织使用该工具用来分发Snake，最近在VirusTotal捕获到了一个在12-2日上传的Png Dropper样本。

JPEGView - 501bd993dd68e24e479c6e8bf55cee9e

样本是一个64位exe，无壳，C/C++，资源中有很多图片，应该为要解密的PE文件

创建互斥量”JPVMtX2869”

读取图片宽高，读取图片像素点RGB值

解密出一个PE文件，然后直接跳转到PE文件的main函数开始执行

Png Dropper执行到这里就结束了，后续解密的文件会获取驱动“VBoxDrv.sys”

尝试与”\\.\VBobDrv”通信

发送ControlCode 0x228204给驱动，验证驱动返回值“The Magic Word!”

这里使用的为Turla Driver Loader（TDL）技术，绕过DES加载为驱动签名，但是在前阶段未能获取到释放的驱动程序。