首页
社区
课程
招聘
[原创]HW前期之分析一款远控木马
发表于: 2020-6-7 16:19 7131

[原创]HW前期之分析一款远控木马

2020-6-7 16:19
7131

每年的活动又要开始了呀,无意在网上冲浪的时候发现了这个马,估计是攻击队留下的痕迹,前期做准备的,感觉这样很有趣,在攻防中不断成长呢!

相关图片


猜测是采用常规的钓鱼邮件的方式,图标伪装。


刚开始免杀效果还可以,如下。


查询时发现是.NET平台编写的恶意文件,没有加壳也没有混淆。


原始文件名为“增量更新包”,程序里方法很少。


进入入口点,原始文件名为“壳程序”,说明很大概率这个只是个下载器或者外壳程序,变量text有点特殊,感觉类似base64编码过。


大致看了下程序流程,会反转text变量的值,然后解码之后调用invoke加载执行。


字符串反转,如下。


动态调试下,获取shellcode。


提取出来,查询如下。


依然还是.NET程序,没有加壳没有混淆,文件名果然很直接......哈哈,是“免杀”,看到VritualAlloc很大概率会是内存执行恶意代码。


同样在入口点存在大量的字节数据


查看程序逻辑后发现会新建线程执行,所以动态调试下获取真实的shellcode。


将shellcode提取出来,如下是十六进制。


反汇编如下,发现很明显的meterpreter后门特征。


.NET不好调试shellcode线程,于是编写一段代码,进行调试。


加载后来到shellcode入口,如下。


设置执行权限


前面是很常规的API hash比较加载对应的函数,便于后续使用。


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2020-6-7 20:08 被jishuzhain编辑 ,原因:
收藏
免费 5
支持
分享
最新回复 (9)
雪    币: 341
活跃值: (1005)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
2
应该是被发现了。
2020-6-7 20:29
0
雪    币: 6054
活跃值: (12594)
能力值: ( LV12,RANK:312 )
在线值:
发帖
回帖
粉丝
3

如果前两段用Delphi,go语言做释放载荷比较难搞了,发现比脚本还容易过引擎

最后于 2020-6-8 09:26 被一半人生编辑 ,原因:
2020-6-8 09:26
0
雪    币: 3176
活跃值: (1786)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
artifact kit 好用
2020-6-8 11:41
0
雪    币: 513
活跃值: (436)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
这玩意payload一直在变,分析后你就会发现是Cobalt Strike的生成的,要继续搞可以自己下个Cobalt Strike玩
2020-6-8 13:04
0
雪    币: 0
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
md5:d77e6d24b0ba5d20e0387efcc5613ec1
2020-6-8 14:25
0
雪    币: 300
活跃值: (2447)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
mark
2020-6-8 20:15
0
雪    币: 1033
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
8
mark
2020-6-8 20:57
0
雪    币: 259
活跃值: (283)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
mark
2020-6-9 17:34
0
雪    币: 207
活跃值: (24)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
Mark
2020-9-11 19:35
0
游客
登录 | 注册 方可回帖
返回
//