伪造Kugou dll木马的一次分析

0×1.背景

近几天,在XX义务中发明存在非常诡异的流量终极经由过程端口定位到该法度榜样,就是故事的开始。

基础信息

复制到虚拟机上,简单查一下Proteug10发明是一款专业电路仿真软件。

是不是你们电路工程的同砚转向做安然了啊

Server.exe,无数字署名,仿冒其他软件,预测是一个木马

资本未见敏感信息。

0×2.动态行径阐发

挂着虚拟机运行法度榜样对法度榜样进行监视行径,阐发监视数据。

阐发行径监控,发明法度榜样将自己复制到了C盘Microsoft Plarsb目录下,并且创建了办事来达到自启动目的。

并且法度榜样对 121.18.238.56:8080和142.4.105.65:9090端口有收集造访,和当时设备监控的目标也是同一个。

前者关机(或防ping),后者存活,推想可能在吃鸡。

查找到为美国办事器(发明近几年的恶意法度榜样办事端IP大年夜部分都是来自美利坚众合国)

端口扫描结果:

端口开的太少假如开的多几率高一点,砸门可以搞一波反渗透本人渗透思路局限,还请大年夜虾见示。

0×3.逆向阐发

法度榜样开始获取InternetOpenA函数地址,推想可能会下载收集文件。

(F6616FC73090D751AFD98A6194A14358)像是一个32位HASH。

没解密出来唉,在这里开始大年夜量呈现法度榜样内所用到的字符串。

这里呈现了默认分组的字样,2010字样,并且在IP138查询了外网地址,预测可能是GH0ST变种。

提权。

创建了以“傻逼360”命名的事故工具,可以确定不正常了。

确认目标路径存不存在,这里后面我用OD也跟到这里来了这个会先检测存不存这个文件,不存在就创建。

木马又复制了一个新的法度榜样到这个C:program FilesMicrosoft PlarsbNlwxaoc.exe

[1] [2] [3] [4]下一页

下面进入if了去判断,创建响应文件夹。

将自己拷贝至目标路径内。

运行拷贝以前的文件,它这样做和直接运行有啥差别吗,真是感叹作者的脑瓜。

到这法度榜样申请内存和堆操作,着末ExitPROCESS,下面我用OD动态跟。

申请堆。

然后获取法度榜样启动信息路径和法度榜样自身的信息。

之后获取系统启动信息:硬件型号,系统版本,系统情况变量。

开释新的文件,如上面从行径监控的大年夜致一样。

经由过程loadPE查看加载的DLL只有一个,但在内存中动态应用loadLibrary去加载其他DLL预测是来躲避查杀软件检测。

这里还PUSH了一堆密文:

xepdy0Q/xlU4bgAmDBixsFQS1PVMwfwe4WfV0HkKVyhpPH+3PqGW0ugVvJ2UpqFD1mNQiNw8SFRK1EULt7q/BhA4ejT/BEVY6sU8CNeuKdHmUAsM766VbK1zVougYQWvTJ9kczqMSSMody1B39rGDSj5iqw76x4BjPPnq3BEOrT7Ptkw3HqNHs5ghFvuH7q5kWUbjQ0bmISMRlPZ2N1BXkfBv+XOWuPz+EBQwSXU2AIYVeEkd/9JaUjmyOsHzGxEGypoU9Spv7a4eKJEdgMEfug1g/9uUyGTElb2IFALYaAZbHGNOA8XkUMmB56zQvlxcVB6L7W0XwDbjGkYobD//6QSmNEyVZKPk83fuF+ZzstmxA2z0SSS4dAEGG2/m++k+K8ycWu5ucIsuUzAdx6D+ZJEr/PekcHMP5H3PeQGM3+lVC7NDscisDc4q4MjIX/KqZNFiWAipvBgOYQEN3BpN7K9cFKUhj2e/j/2CJfTAs+vWutmrT+IgSm4jm+RA2Qau1Y4GIQgocYTyQ==

根据密文形式预测,很有可能是AES/DES加密,根据12345678和12345678admins考试测验解密掉败。

至此,法度榜样一阶段履行完毕,大年夜概行径:

1.确认C盘目标目录是否存在

2.创建目标目录并复制

3.启动复制后的文件

4.提权

5.一堆加密的代码

6.退出

我们跟到第二个阶段的法度榜样看看有没有新器械。

法度榜样启动(C:Program FilesMicrosoft PlarsbNlwxaoc.exe):

第二个法度榜样中再次呈现这段密文,我感觉很有需要在lstrlenA函数下断点跟一下。

在二次运行阶段第一次经由过程注册表创建了办事。

删除C:Picture.exe,下载http://121.18.238.56:8080/aaa.exe并再次经由过程API创建办事。

第二阶段退出。

到这法度榜样也有申请内存和堆操作,着末ExitPROCESS,接着第三阶段。

上一页[1] [2] [3] [4]下一页

开始连接此IP,并且打开网址:http://r.pengyou.com/fcg-bin/cgi_get_portrait.fcg?uins=12345678因为同伙网接口掉效,无法判断此网址感化。搞了那么久不会便是想交个同伙吧。

我考试测验在VirtualAlloc下断,发明其动态申请了一段指定肇端地址为10000000的内存。

根据之前的信息进行推想这里应该照样一个模块,在10000000处下硬件写入断点看看是什么时刻写入的数据:

向上追踪esi地址,发清楚明了一段颠末UPX加壳的PE数据:

根据MZ头位置确定PE_HEADER:(0x0047005C+0×0128 = 0×00470184)

找到了NT头,找0B01,确定OPTIONAL_HEADER位置:

SizeOfHeaders:0×1000

NumberOfSections:3

继承向下找节表,节表如图所示,共3个节,

第一个节名:UPX0,SizeofRawData:0

第一个节名:UPX1,SizeofRawData:00051400

第三个节名:rsrc,SizeofRawData:00001C00

故全部PE文件实际大年夜小:SizeOfHeaders(0×1000)+ UPX0(0)+ UPX0(00051400)+ rsrc(00001C00) = 0×54000

用MZ头所在内存肇端地址加上谋略出来的全部文件的大年夜小:

0x47005C + 0x54000 = 4C405C

以是现在可以确定这个PE文件在内存里边的整段位置为:

0x47005C – 0x4C405C,在x32dbg中选中这段内存,右键保存为二进制数据,获得一个dll:

查看文件信息可得知,此文件冒充成酷狗音乐DLL文件运作:

加了UPX。

惯例子,ESP定律。

DLL导出表

导入表中大年夜多是一些之前简单阐发的函数。

截屏

路由相关

添加用户

下载文件

上一页[1] [2] [3] [4]下一页

至此停止吧。这个木马终极会加载这个DLL至0×10000000并且进入这个模块继承履行,看了一下无非便是一些木马的常用功能。

按照以往做法这里是不是应该总结一张木马运行图,歉仄,运行图我不会画,然则画画我会,送上鄙人画的小鸡啄米图。

上一页[1] [2] [3] [4]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包