小M-Quartz

【样本分析】DLL劫持——coccocpdate

6分钟阅读

概述

本文部分内容由 AI 生成,经人工修订。

coccocpdate.dll 恶意代码分析报告

文件信息

属性
文件名coccocpdate.dll
文件路径\WB1\coccocpdate.dll
MD59b9bc1deed2b5820da9826cca29f0e87
SHA2565c796d9490e36674d10d0fcf949fbdcdbe76f59c329475b74bc29cbdb2077c9d
CRC320xde6d5613
文件大小0x13000 (77824 字节)
基址0x10000000
镜像大小0x18000

分析概述

这是一个典型的 DLL 劫持/加载时执行 恶意样本。该 DLL 在被加载到进程时会自动执行恶意代码,启动计算器程序(calc.exe)。

恶意行为分析

1. DLL 入口点分析

函数: _DllMain@12
地址: 0x10001000

push ebp
mov ebp, esp
dec [ebp+fdwReason]          ; 检查 fdwReason == 1 (DLL_PROCESS_ATTACH)
jnz loc_10001015             ; 如果不是 PROCESS_ATTACH,跳过执行
push offset Command           ; 推入命令字符串 "calc.exe"
call _system                  ; 调用 system() 函数执行命令
add esp, 4
loc_10001015:
mov eax, 1                    ; 返回 TRUE
pop ebp
retn 0Ch

关键发现:

  • 当 DLL 被加载到进程时(DLL_PROCESS_ATTACH),立即执行恶意代码
  • 调用 _system 函数执行命令
  • 执行的命令是 “calc.exe”

2. 命令执行函数分析

函数: _system
地址: 0x1000102d

该函数实现了类似标准 C 库 system() 的功能,用于执行系统命令。

执行流程:

  1. 获取 COMSPEC 环境变量 (0x10001044)

    • 环境变量名: COMSPEC
    • 通常指向: C:\Windows\System32\cmd.exe

  2. 检查文件可访问性 (0x1000107c)

    • 使用 __access_s 检查目标文件是否存在

  3. 执行命令 (0x100010b3)

    • 首先尝试使用 __spawnve 直接执行
    • 如果失败,回退到使用 cmd.exe 通过 __spawnvpe 执行

  4. 错误处理

    • 错误代码 0x16 (22): 无效参数
    • 错误代码 2: 文件未找到
    • 错误代码 0xD (13): 权限被拒绝

3. 字符串引用

地址字符串用途
0x1000e150COMSPEC环境变量名
0x1000e15ccmd.exe备用命令解释器
0x1000e170.cmd文件扩展名检查
0x1000e178.bat文件扩展名检查
0x10011d24calc.exe要执行的恶意命令

技术细节

执行时机

恶意代码在以下时机执行:

  • DLL_PROCESS_ATTACH (fdwReason = 1)
  • 当 DLL 被 LoadLibrary 或进程启动时加载

执行方式

  1. 通过环境变量 COMSPEC 获取命令行解释器路径
  2. 使用进程创建 API (spawnve/spawnvpe) 执行目标程序
  3. 具有错误处理和回退机制

隐蔽性特征

  • 使用合法的 Windows API 函数
  • 通过环境变量获取系统路径,避免硬编码
  • 文件名伪装成更新程序 (coccocpdate.dll)
  • 简单的执行行为可能用于测试或作为载荷载体

威胁评估

严重程度: 中等

理由:

  1. 持久化: 通过 DLL 劫持实现自动执行
  2. 执行能力: 能够执行任意系统命令
  3. 隐蔽性: 使用合法 API,可能绕过某些检测
  4. 当前载荷: 仅执行 calc.exe,可能是测试样本或占位符

潜在风险

  • 如果替换 calc.exe 为其他恶意命令,可造成严重危害
  • 可用于下载器、后门、勒索软件等恶意软件的初始执行
  • DLL 劫持技术可用于提权或持久化

检测建议

静态检测

  1. 检查 DLL 的 DllMain 函数是否在 DLL_PROCESS_ATTACH 时执行可疑操作
  2. 搜索包含 “calc.exe” 或其他可疑命令的字符串
  3. 检查导入表中是否包含进程创建相关 API

动态检测

  1. 监控 DLL 加载事件
  2. 检测从 DLL 进程创建的子进程
  3. 监控 spawnvespawnvpe[[【winapi】CreateProcess|CreateProcess]] 等进程创建 API 的调用

行为检测

  1. DLL 加载后立即创建进程的行为
  2. 从非预期位置加载的 DLL
  3. DLL 文件名与实际功能不符

缓解措施

  1. 启用 DLL 安全搜索: 设置 SafeDllSearchMode 注册表项
  2. 代码签名验证: 仅加载经过签名的 DLL
  3. 应用白名单: 限制可执行的 DLL 和程序
  4. 路径完整性: 确保 DLL 位于正确的系统目录
  5. 权限最小化: 限制用户权限,减少 DLL 劫持的影响

分析步骤总结

  1. ✅ 检查 IDA Pro 连接状态
  2. ✅ 获取文件元数据信息
  3. ✅ 分析 DLL 入口点 (DllEntryPoint)
  4. ✅ 反编译并分析 _DllMain@12 函数
  5. ✅ 反汇编并分析 _system 函数
  6. ✅ 识别关键字符串引用
  7. ✅ 添加注释说明恶意行为
  8. ✅ 创建分析报告

结论

coccocpdate.dll 是一个典型的 DLL 劫持恶意样本,利用 DLL 加载机制自动执行恶意代码。虽然当前载荷仅为启动计算器程序,但其技术框架可用于执行任意恶意命令,具有潜在的安全威胁。建议加强 DLL 加载监控和验证机制,防止此类恶意软件的执行。

分析日期: 2026-02-03
分析工具: IDA Pro + MCP
分析人员: Copilot Code Pro

关系图谱