-
-
[分享]简单后门分析
-
2018-6-4 17:01
-
一、基本信息
二、简介
此样本是运行在windows系统下的一款后门样本(来自恶意代码分析实战 lab-09-01),功能包括向指定域名上传、下载指定文件、获取shell等,通过命令安装服务、更新配置、卸载服务、打印配置信息。
三、被感染主机及网络迹象
- 1、主动发起域名请求:http://www.practicalmalwareanalysis.com
- 2、创建服务名为:lab9-01 的服务
- 3、创建键值注册表:HM-SOFTWARE/MICROSOFT/XPS <br>
四、详细分析
(一) 壳信息
通过PEID、ExeInfoPe查壳发现程序未加壳,图一展示了PEID查壳结果:
图一 PEID查壳结果
如图二所示显示了ExeInfoPe的查壳结果,显示均无加壳:
图二 ExeInfoPe查壳结果
(二) 功能分析
1. 通过工具strings获取程序包含的字符串如图三所示:
图三 strings查询字符串结果
从字符串查询结果来看总结可疑字符串列表如下:
SOFTWARE\Microsoft \XPS
HTTP/1.0
GET
疑似后门远程命令
NOTHING
CMD
DOWNLOAD
UPLOAD
SLEEPcmd.exe
>> NUL
/c del
ups
http://www.practicalmalwareanalysis.com 可能是连接用到的域名
Manager Service
疑似后门指令
-cc
-re
-in
以上是通过查看字符串,对字符串的作用产生的猜测。
2. 动态静态结合分析
通过ida反编译程序可发现主程序有两个跳转如图四所示。
1、程序运行采用默认参数
2、程序多参数运行
图四 静态反编译命令行参数判断结果图
1、程序运行采用默认参数
功能描述:当程序采用默认参数运行时首先通过sub_401000判断注册表中有无Configuration值。有的话执行sub_402360();后门主函数。没有的话则执行sub_402410();函数删除程序自身。
通过图四可知当命令行参数为默认时(默认为一个即当前文件执行路径)程序运行到 0x00402B03 地址处执行 call sub_401000函数 程序逻辑如下图五所示:
图五 程序运行采用默认参数时逻辑图
call sub_401000函数用于获取注册表 HM-SOFTWARE\Microsoft \XPS下Configuration的值。如下图六所示:
图六 sub_401000函数逻辑图
图七 sub_401000伪代码逻辑图
当无此注册表时HM-SOFTWARE\Microsoft \XPS程序则执行sub_402410();删除自身如图八所示:
图八 反编译sub_402410()结果逻辑图
动态调试sub_402410()详细参数图
图九 动态调试sub_402410()详细参数图
当注册表包含HM-SOFTWARE\Microsoft \XPS-Configuration的值的时候将直接运行sub_402360();后门功能主函数。
如下图十所示为sub_402360();函数主要逻辑:
图十 sub_402360()后门主函数功能逻辑图
其中sub_401280()为获取Configuration并且通过字符串拼接存储到指定位置,如下图十一所示:
图十一 sub_401280()获取注册表值函数
通过查看注册表可发现Configuration中保存的值如下图十二所示保存的为URL以及端口信息。
图十二 注册表中的值
通过动态调试可发现 sub_402020(&name)中的参数name即为注册表中的URL的值,如下图十三所示:
图十三 sub_402020()参数信息
当跟踪进入sub_402020()函数后会发现此为后门功能选择的主要函数。其中包括命令如下:
1、SLEEP 程序暂停等待一段时间运行。
2、UPLOAD 调用函数sub_4019E0(name, v5, v6)往被控主机上上传文件等。
3、DOWNLOAD 调用sub_401870(name, v8, lpFileName) 函数往控制端传输文件等。
4、CMD 获取一个cmd shell
5、NOTHING 什么也不执行
程序多参数运行
功能描述:程序多参数运行时。首先需要最后一个参数作为运行密码,才能使程序得以正常运行。当输入正确密码后程序需要另外的参数作为功能指令,其中包括:
1、-in 安装后门程序
2、-re 卸载服务
3、-c 可更新HM-SOFTWARE\Microsoft \XPS-Configuration中的值(需要更新的值在命令行中输入)
4、-cc 控制台打印当前注册表中配置信息
运行密码解密:
当图四中的跳转实现当运行指针跳转到地址0x00402B1D的时候程序首先获取到命令行参数的最后一个。然后通过函数sub_402510对最后一个命令行参数进行验证。sub_402510此函数过程中主要通过逐次对 61h、62h、63h、64h(anscii abcd)进行比对进行验证的。当验证不通过时调用0x0040241 地址处的sub_402410();函数删除自身。如下图十四所示:
图十四 密码验证过程逻辑
如图十五所示为密码验证过程sub_402510()实现部分:
图十五 密码验证过程实现部分
因此当命令行参数至少为两个。格式即为(xxx .... abcd)也可以直接通过爆破将sub_402510()验证过程直接修改(修改跳转指令即可实现)
-in指令
当命令行参数为 (-in abcd时候)程序执行装载过程。即 sub_402600(&ServiceName);函数过程。程序首先利用argv[1]与应编码“-in”进行执行比较。然后通过sub_4025B0(&ServiceName)函数获得要创建的服务的名称。最终执行sub_402600(&ServiceName);创建以serverName命名的服务。并且将自身文件拷贝到系统目录。
如下图十六所示创建服务:
图十六 创建服务
如图十七所示本机查看服务
图十七 查看本机服务
将自身文件拷贝进系统目录如下图十八所示:
图十八 文件拷贝部分
通过 sub_401070(aUps, aHttpWww_practi, a80, a60)函数写注册表。如下图十九
图十九 写注册表函数
此函数sub_4015B0(&BinaryPathName)将拷贝进系统的恶意后门文件时间修改与本机器kernel32.dll的时间一致。如下图20所示修改为2008年:
图二十 修改时间函数
当命令行参数为四个时候,-in www.baidu.com abcd 如下图二十一所示可更新c&c信息:
图二十一 更新配置信息
-re卸载服务指令
-re指令调用 sub_402900(&v8); 完全卸载服务于 -in指令相反 如下图二十二所示:
图二十二 卸载服务
-cc指令
-cc指令用于控制台打印配置信息如下图二十三所示:
图二十三 打印配置信息
-c指令
-c指令用于更新配置信息调用 sub_401070(argv[2], argv[3], argv[4], argv[5]);函数参数必须为七个参数完全更新。(参数信息分别为-默认路径,-c,标志字,url,port,per(疑似心跳间隔),密码)函数如下图二十四所示:
图二十四 更新配置信息
相关IOC
http://www.practicalmalwareanalysis.com
技术热点与总结
- 以服务形式启动
- 自删除并将自身拷贝到系统文件夹且将自身时间修改为和系统kernel32.dll一致
- 自带配置更新功能
- 文件上传与下载
- 此样本为恶意代码分析实战样本,网上公开报告很多,但每个人方法不同,理解程度不同。尽量多交流些不同的分析方法进而提炼出关于分析的方法论。
[培训]二进制漏洞攻防(第3期);满10人开班;模糊测试与工具使用二次开发;网络协议漏洞挖掘;Linux内核漏洞挖掘与利用;AOSP漏洞挖掘与利用;代码审计。
|
|
|---|---|
