-
-
[原创]HW前期之分析一款远控木马
-
发表于:
2020-6-7 16:19
7131
-
每年的活动又要开始了呀,无意在网上冲浪的时候发现了这个马,估计是攻击队留下的痕迹,前期做准备的,感觉这样很有趣,在攻防中不断成长呢!
猜测是采用常规的钓鱼邮件的方式,图标伪装。
刚开始免杀效果还可以,如下。
查询时发现是.NET平台编写的恶意文件,没有加壳也没有混淆。
原始文件名为“增量更新包”,程序里方法很少。
进入入口点,原始文件名为“壳程序”,说明很大概率这个只是个下载器或者外壳程序,变量text有点特殊,感觉类似base64编码过。
大致看了下程序流程,会反转text变量的值,然后解码之后调用invoke加载执行。
字符串反转,如下。
动态调试下,获取shellcode。
提取出来,查询如下。
依然还是.NET程序,没有加壳没有混淆,文件名果然很直接......哈哈,是“免杀”,看到VritualAlloc很大概率会是内存执行恶意代码。
同样在入口点存在大量的字节数据
查看程序逻辑后发现会新建线程执行,所以动态调试下获取真实的shellcode。
将shellcode提取出来,如下是十六进制。
反汇编如下,发现很明显的meterpreter后门特征。
.NET不好调试shellcode线程,于是编写一段代码,进行调试。
加载后来到shellcode入口,如下。
设置执行权限
前面是很常规的API hash比较加载对应的函数,便于后续使用。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
最后于 2020-6-7 20:08
被jishuzhain编辑
,原因: