【文件名称】:DNF5天号解封教程.exe
【HA256】 :3504ec84a6efb00010064e3abb1d0ae5e38883ce0abbd7c1ad7245eeb3a05bcd
【运行环境】:win7
【远控服务器】:腾讯云——132.232.36.190
【使用工具】:OD WINHEX PEID EXEINFO Malware Defender
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
今日有网友在群里诶特我说有个远控可以过火绒 火绒查不出来 索性就下载来看看
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0x00
上手先查壳然后发现没壳(听说过火绒????)
我寻思第一眼看上去没啥子区别呀
DNF5天号解封教程.exe
样本行为
键盘记录
写入文件 C:\Users\ADMINI~1\AppData\Local\Temp\\csrss.exe
通过对这个主程序的分析 主要敏感的行为还是只有这一个文件写入的动作 所以我把目光放在了csrss.exe这个被写入的文件
Csrss.exe分析
可以看到作者把他伪装成了一个360安全卫士的隔离区模块
但是具体真是这样吗?
查壳后发现是UPX的(咋干坏事都用UPX呢?)
UPX脱壳方法就不说了 上脱壳机就完事了
GOGOGO GKD!
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0x01
Csrss.exe样本行为
获取系统信息
设置数据跟踪
创建服务并写入Bat
但是发现了一点问题 这本是一个批处理 但是怎么会有DOS头????还有区段????
接着看
创建服务
创建服务
然后接着程序自动退出!!!
并且删除自身
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0x02
Shennong.bat行为分析
当时我看到这个东西的时候我人都傻了 我读书少别骗我 Bat文件有Dos头????
这是我自己弄的一个exe
改成Bat之后一样可以查到编译器等信息
这是一个真Bat
那么具体就看看这个到底做了什么吧!!!
创建服务
跟那个exe是同样的操作
通过抓包知道了这玩意是远控
真就是得不到就远控呗
创建服务就是为了持久性控制受害者电脑呗
这个Bat反正用户关掉就自动重启 关掉就自动重启 持久性的控制
比起远控 我更好奇沙雕网友说的 火绒不检测
运行流程
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0x03
杀软免杀测试,毕竟实践出真知!
为了模拟最真实的测试情况,直接运行程序和扫描样本 不提取等操作
1. 腾讯电脑管家
指定扫描
直接运行
2.360安全卫士
指定位置扫描
直接运行
3.重头戏 火绒安全卫士
指定位置扫描
直接运行
这...沙雕网友。。
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
后记—00x00x00x00
这个远控告诉我们,泡妞别光等,别光买礼物,买完礼物表白失败也不要紧,得不到就远控!
感谢:LoneMonster指点
感谢:眠call倚无暇的表情包
推荐一下弟弟写的自闭脚本
学这个shell脚本也就学了半天 这玩意也就写了半天 渗透大佬看看就好
拥有一键自动化攻击 一键设置永恒之蓝 一键设置漏洞扫描 一键设置监听 一键设置Payload 一键Nmap扫描等......
演示视频
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
最后于 2019-5-25 00:54
被UzJu编辑
,原因: