快捷搜索:  网络  CVE  渗透  后门  扫描  木马  黑客  as

伪造Kugou dll木马的一次阐发

*

0×1.违景

近几天,在XX义务中发现存在异常诡异的流量终极通过端口定位到该程序,便是故事的最先。

基本信息

伪造kugou dll木马的一次阐发

复制到捏造机上,简单查一下Proteug10  发现是一款专业电路仿真软件。

伪造kugou dll木马的一次阐发

是否是你们电路工程的同砚转向做安全了啊

Server.exe,无数字署名,仿冒其他软件,猜测是一个木马

资源未见敏感信息。

0×2.动态举动阐发

挂着捏造机运行程序对程序进行监视举动,阐发监视数据。

伪造kugou dll木马的一次阐发阐发举动监控,发现程序将本人复制到了C盘Microsoft Plarsb目录下,并且创建了服务来达到自启动目的。

伪造kugou dll木马的一次阐发

并且程序对 121.18.238.56:8080以及142.4.105.65:9090端口有收集走访,以及那时设备监控的目标也是同一个。

伪造kugou dll木马的一次阐发伪造kugou dll木马的一次阐发前者关机(或防ping),后者存活,黑客漏洞,推测可能在吃鸡。

伪造kugou dll木马的一次阐发

查找到为美国服务器(发现近几年的恶意程序服务端IP大部分都是来自美利坚众合国)

端口扫描效果:

伪造kugou dll木马的一次阐发

端口开的太少要是开的多几率高一点,砸门可以弄一波反渗透排泄自己渗透排泄思路局限,还请大虾赐教。

0×3.逆向阐发

伪造kugou dll木马的一次阐发程序最先获取InternetOpenA函数地址,推测可能会下载收集文件。

伪造kugou dll木马的一次阐发

伪造kugou dll木马的一次阐发(F6616FC73090D751AFD98A6194A14358)像是一个32位HASH。

伪造kugou dll木马的一次阐发

伪造kugou dll木马的一次阐发

没解密出来唉,在这里最先大批出现程序内所用到的字符串。

伪造kugou dll木马的一次阐发

伪造kugou dll木马的一次阐发

这里出现了默认分组的字样,2010字样,并且在IP138查询了外网地址,猜测多是GH0ST变种。

伪造kugou dll木马的一次阐发

提权。

伪造kugou dll木马的一次阐发

创建了以“傻逼360”命名的事故对象,可以确定不正常了。

伪造kugou dll木马的一次阐发

确认目标路径存不存在,这里后面我用OD也跟到这里来了这个会先检测存不存这个文件,不存在就创建。

木马又复制了一个新的程序到这个C:\program Files\Microsoft Plarsb\Nlwxaoc.exe

伪造kugou dll木马的一次阐发下面进入if了去判定,创建相应文件夹。

伪造kugou dll木马的一次阐发

将本人拷贝至目标路径内。

伪造kugou dll木马的一次阐发

运行拷贝过去的文件,它如许做以及直接运行有啥区分吗,真是感叹作者的脑瓜。

伪造kugou dll木马的一次阐发

到这程序申请内存以及堆操作,最后ExitPROCESS,下面我用OD动态跟。
伪造kugou dll木马的一次阐发

伪造kugou dll木马的一次阐发申请堆。

伪造kugou dll木马的一次阐发然后获取程序启动信息路径以及程序自身的信息。

伪造kugou dll木马的一次阐发以后获取体系启动信息:硬件型号,体系版本,体系环境变量。

伪造kugou dll木马的一次阐发

伪造kugou dll木马的一次阐发开释新的文件,如上面从举动监控的大致同样。

通过loadPE查看加载的DLL只有一个,但在内存中动态使用loadLibrary去加载其他DLL猜测是来藏避查杀软件检测。

伪造kugou dll木马的一次阐发

伪造kugou dll木马的一次阐发

这里还PUSH了一堆密文:

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

图片2.png

根据密文情势猜测,颇有多是AES/DES加密,根据12345678以及12345678admins尝试解密失败。

至此,程序一阶段执行完毕,大概举动:

1.确认C盘目标目录是否存在

2.创建目标目录并复制

3.启动复制后的文件

4.提权

5.一堆加密的代码

6.退出

我们跟到第二个阶段的程序看看有没有新器械。

程序启动(C:\Program Files\Microsoft Plarsb\Nlwxaoc.exe):伪造kugou dll木马的一次阐发

伪造kugou dll木马的一次阐发

第二个程序中再次出现这段密文,我以为颇有必要在lstrlenA函数下断点跟一下。

在二次运行阶段第一次通过注册表创建了服务。

伪造kugou dll木马的一次阐发删除C:\Picture.exe,下载http://121.18.238.56:8080/aaa.exe并再次通过API创建服务。

伪造kugou dll木马的一次阐发

第二阶段退出。

伪造kugou dll木马的一次阐发

到这程序也有申请内存以及堆操作,最后ExitPROCESS,接着第三阶段。

伪造kugou dll木马的一次阐发伪造kugou dll木马的一次阐发

最先连接此IP,并且关上彀址:http://r.pengyou.com/fcg-bin/cgi_get_portrait.fcg?uins=12345678   由于同伙网接口失效,没法判定此网址作用。弄了那么久不会就是想交个同伙吧。

u=3256093748,4221223979&fm=173&s=D5B336D51E625A134A29A0F903004033&w=500&h=363&img.JPEG

我尝试在VirtualAlloc下断,发现其动态申请了一段指定肇始地址为10000000的内存。

伪造kugou dll木马的一次阐发

伪造kugou dll木马的一次阐发

根据之前的信息进行推测这里应该照样一个模块,在10000000处下硬件写入断点看看是什么时辰写入的数据:

伪造kugou dll木马的一次阐发

向上追踪esi地址,发现了一段经过UPX加壳的PE数据:

伪造kugou dll木马的一次阐发

根据MZ头地位确定PE_HEADER:(0x0047005C+0×0128 = 0×00470184)

伪造kugou dll木马的一次阐发

伪造kugou dll木马的一次阐发

找到了NT头,找0B01,确定OPTIONAL_HEADER地位:

伪造kugou dll木马的一次阐发

伪造kugou dll木马的一次阐发

SizeOfHeaders:0×1000

伪造kugou dll木马的一次阐发

NumberOfSections:3

伪造kugou dll木马的一次阐发

继续向下找节表,节表如图所示,共3个节,

第一个节名:UPX0,SizeofRawData:0

第一个节名:UPX1,SizeofRawData:00051400

第三个节名:rsrc,SizeofRawData:00001C00

故全部PE文件实际大小:SizeOfHeaders(0×1000)+ UPX0(0)+ UPX0(00051400)+ rsrc(00001C00) = 0×54000

用MZ头地点内存肇始地址加上计算出来的全部文件的大小:

0x47005C + 0x54000 = 4C405C

所以现在可以确定这个PE文件在内存里边的整段地位为: 

0x47005C – 0x4C405C,在x32dbg当选中这段内存,右键保存为二进制数据,得到一个dll

伪造kugou dll木马的一次阐发

查看文件信息可得知,此文件伪装成酷狗音乐DLL文件运作:

伪造kugou dll木马的一次阐发

加了UPX。

伪造kugou dll木马的一次阐发

老规矩,ESP定律。

DLL导出表

伪造kugou dll木马的一次阐发

导入表中大可能是一些之前简单阐发的函数。

截屏

伪造kugou dll木马的一次阐发

路由相干

伪造kugou dll木马的一次阐发

添加用户

伪造kugou dll木马的一次阐发

下载文件

伪造kugou dll木马的一次阐发

至此结束吧。这个木马终极会加载这个DLL至0×10000000并且进入这个模块继续执行,看了一下不过就是一些木马的经常使勤恳能。

按照以往做法这里是否是应该总结一张木马运行图,抱歉,运行图我不会画,然则画画我会,奉上鄙人画的小鸡啄米图。

搜狗截图18年07月31日1223_1.png

*

您可能还会对下面的文章感兴趣: