-
-
[原创]深圳梦马科技锁主页驱动的任意代码执行后门的利用
-
发表于:
2019-9-25 16:51
8281
-
[原创]深圳梦马科技锁主页驱动的任意代码执行后门的利用
0x1:
朋友的电脑坏了,一开机进桌面10秒后就蓝屏,让我帮忙看看。先抓了2个内核minidump,看看情况。
看来是有个随机名的驱动在explorer上面干坏事,结果坏事没干成,把系统搞挂了。先简单看下这个随机名驱动的信息
是个.dat结尾的随即名驱动。虽然说开机到桌面10秒后就蓝屏,但是只要我的手速够快,就可以找到这个驱动,并且把它复制出来。签名如下
0x2:
先把找到的驱动拖到IDA里面看一下,IDA弹了个框告诉我,没找到PDB文件。可是这路径是怎么回事。
emmmm..zhankai,你好。先去DriverEntry里面看看程序在干什么,
首先程序获取MSR_LSTAR定位到ssdt相关的信息(systemcall64shadow内核隔离请无视)
接着用获取到的ssdt表来计算对应函数的位置
接着就是各种干netio,afd,tcpip等驱动,注册各种回调。这里跳过。最后就是创建设备对象和符号了
这里创建的名字很奇特,根据年,月,日来生成一个随机的0xc的字符串。
比如今天是19/8/25,生成的就是
相当于每天都有新的名字,好开心呀。
0x3:
初始化阶段分析完了,我们来看看电脑为什么会蓝屏吧,还记得dump里面这里的偏移吗,这里RIP变成了0,去这里看一下
进去了这个CALL,就没出来。看来是ssdt没找到地方呀。ZwProtectVirtualMemory和ZwWriteVirtualMemory(win10才导出)
等等,DUMP显示这里在操作exploer,我们看下伪代码,attach到一个进程上,分配内存,然后创建线程。
好像是远程shellcode执行。貌似是个后门。找下来源,这里把要执行的shellcode作为context直接给了一个新的系统线程。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
最后于 2019-9-25 17:03
被xiaofu编辑
,原因: