游戏MOD伴随盗号风险，仿冒网站借“风灵月影”窃密

一、Lumma Stealer样本分析

       具体加载流程为：DLLEntryPoint()→DLLMain()→_CRT_INIT()→_cinit()→_initterm_e()→__InitCPLocHASH()

       其恶意代码shellcode主要存储在文件pulque.vcf与affifdavit.zip(伪装的压缩包文件)中。恶意函数会从这些文件中读取恶意代码，并将其加载到内存中。

       该恶意代码通过进程镂空技术进行加载：首先，加载dbghelp.dll；接着，将dbghelp.dll中.text区段的内存属性修改为可写；之后，将其自身复制到.text区段；随后，修改并恢复该区段的内存属性；最后，执行恶意代码。

       该恶意代码通过PEB获取kernel32.dll、ntdll.dll。接着，借助CRC算法构建Hash，之后通过Hash匹配获取系统API，并构造一个必要API数组。

       完成API数组的构造后，再次利用进程镂空技术进行加载：首先，通过加载pla.dll实现进程镂空；随后，将其自身复制到已完成镂空操作的pla.dll中并进行加载。

       随后，通过同样的方式再次构造API数组，此次获取到的API数量有所增加。

       之后，将病毒的主要文件复制到C:\Users\Admin\AppData\Roaming\aah路径下，并创建进程C:\Users\Admin\AppData\Roaming\aah\TiVoDiag.exe（前提是该进程不存在）。

       然后，再次获取关键API，其中包含网络相关的API。

       接着，通过进程Token查询进程的完整性级别。

       随后，通过com组件{00021401-0000-0000-C000-000000000046}创建快捷方式，进一步实现持久化操作。

       之后，恶意代码再次利用进程镂空技术，将其自身注入到shdocvw.dll中，并创建more.com挂起进程（more.com为查看文本命令，类似于Linux系统中的cat命令）。

       接着，通过天堂之门对挂起的more.com进程进行代码注入。

       对X64代码进行分析发现，该恶意代码主要通过syscall系统调用实现API调用。

       通过分析syscall code可知，该恶意代码主要来源于参数[ebp+8]。经分析，其主要利用的syscall code如下。

       之后，通过天堂之门进行系统调用NtCreateSection与NtMapViewOfSection，最终实现恶意代码对more.com进程的内存映射。

       随后，将其最终shellcode进行加密，并写入到临时文件夹。

       之后，再次通过天堂之门进行系统调用NtSetContextThread、ZwSetThreadContext、ResumeThread，以恢复more.com的进程挂起。

第二阶段