首页
社区
课程
招聘
[原创]记一次某pe木马较不完整分析
发表于: 2019-10-24 16:58 6506

[原创]记一次某pe木马较不完整分析

2019-10-24 16:58
6506

记录一下最近分析的一个样本,自己依然是个菜鸡,有很多不足,希望各位师傅提出错误我努力学习.我头发都没了.此木马发送用户信息加密,能进行远程后门访问等功能,导入函数和导出函数只有一个,大量的动态加载api.

idb和样本都放下面学习链接那了.

image.png

Alt+F11查看调试宏代码

三个模块分别为Pibafqel,Nzolhtmfybml,Xhnbvwxbzhq.Nzolhtmfybml里面是空的,其他两个里面充满类似家庭地址的注释,使用脚本删除掉后进行调试翻译.去除无用混淆,大多数都只是定义,声明的函数.

调试后发现,在autoopen中使用过函数有Hsbahypqju()Abiufkgnjgdiv(Kmtifafrucqb).

化简:image.png

调用Hsbahypqju(),

遇到个office坑比的地方,通过监视窗口只能查看前250个字符,所以最好通过Debug.Print打印变量,能看到全部字符串

创建一个winmgmts:win32_processstartup对象,仅用于将信息传递给Win32_Process类的Create方法。

隐藏窗口

命令行字符串

创建winmgmts:Win32_Process对象

通过Win32_Process方法Creat运行字符串.-e-EncodeCommand.powershell -e运行base64编码的字符串.

Create(命令行,子进程路径,启动配置,进程od)`

将传入的字符串中的0xdc3替换为空,恢复字符串的作用.

位置: %userprofile%\846.exe

名称: 846.exe

md5: e83c5ba6be05ec51ae6ceb2470fcfdf3

sha-1: 94b527756b6c6753822501f76f161bf64ad6974c

sha-256: fb0a0f10cbebefb5dbe6034c3bdfe246179e444c68a6e36c4d20232d52fc07a7

image.png

时间是最近创建的.无壳,使用vs2015编译.

根据ProcessExplorer观察程序执行大概流程.846.exe执行后会启动一个新进程 后杀掉自己.新进程名为dasmrcdasmrc.exe,地址为%LOCALAPPDATA%\dasmrcdasmrc.exe

image.png

存在唯一的导出函数qzLgKZBqfCXorfLMeJzdKzgyvdzqwF,EntryPoint0x00004960

CIRC OLE Control DLL可能某个样本种类吧.

image.png

通过导出表获取函数qzLgKZBqfCXorfLMeJzdKzgyvdzqwF的地址,跳转执行.

image.png

获取VirtualAlloc函数地址,以使得后续能拷贝执行数据.

image.png

image.png

sub_1E0467函数通过传如对应函数hash值获取所需api地址.

sub_1e0467:image.png

(((FS:[30])+0xC)+0xC)获取Ldr的地址,后面进行遍历和比较最终得到所需要的地址. 参考链接放在下面了.

image.png

根据PE偏移,获取各个节的数据.

image.png

申请空间

image.png

拷贝后门程序pe数据.这时候顺便去dump内存被复制的pe数据,(毕竟可能不用修复重定位(x).

age.png得知程序入口RVA为0x1000, 基地址为0x60000,所以起始地址为0x610000,块大小为D200

内存页属性修改

修改代码段为可执行可读属性.

image.png

​ 修改数据段为可读属性

image.png

执行新pe文件的代码段,这时候顺便dump下来pe数据.

image.png

拷贝数据

image.png

获取模块全称和地址

image.png

计算key

image.png

格式化参数

image.png

计算出的命令行参数和从右往左取现有命令行进行比较,如果命令相等则执行内部函数.不相等的话执行下列流程

image.png

image.png

不相等后

执行后续程序,最终CreateProcessW

创建新的自身进程并附加对应计算出的命令参数:
image.png

image.png

退出进程

image.png

image.png

使用上述的命令行字符串进行调试,这时候为了方便使用之前解密后dump下来的pe数据.

二者字符串相等进入sub_30B8AB.

image.png

通过互斥量执行主要功能函数函数,等待4000ms

image.png

功能大致分布区域,通过对固定内存空间的值进行校验赋值,依次执行不同功能

系统进程获取

image.png

sub_302255image.png

进程名存储:image.png

信息发送

image.png

发送流程

image.png

注册自启动

image.png

新文件

image.png

启动image.png

令牌获取

image.png

高权限执行

image.png

移动文件

image.png

使用SHFileOperationW操作文件

image.png


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

最后于 2020-2-4 04:41 被阿伪编辑 ,原因:
收藏
免费 3
支持
分享
最新回复 (4)
雪    币: 1390
活跃值: (131)
能力值: ( LV5,RANK:62 )
在线值:
发帖
回帖
粉丝
2
哥们,请问下你的这个office样本用火绒剑之类的行为监控软件能看到powershell起来吗?
2019-12-31 15:04
0
雪    币: 1397
活跃值: (268)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
3
OK繃 哥们,请问下你的这个office样本用火绒剑之类的行为监控软件能看到powershell起来吗?
有点记不清了,Process Explorer应该能看到.
2020-2-4 04:39
0
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
4
0x03开始是用od调试的嘛,那步解密数据是指解密的哪
2020-4-27 01:18
0
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
5
纯小白,求师傅指导
2020-4-27 01:18
0
游客
登录 | 注册 方可回帖
返回
//