需要说明的是

我是内核岗

不是逆向岗

我逆向水平奇菜无比 喷之前先考虑下方向问题

更新:

经过讨论后...这东西到底是不是病毒木马不清楚...但是行为巨像

正文:

今天隔壁某破解站给我号封了 我发不了贴...所以先发到看雪 解封的话就带过去 不解封那就这样了

深夜看锻刀大赛 结果看到4点钟睡不着了

群友也全睡了 只能一个人逛逛论坛

然后在某不正经论坛看到了这样一个帖子

(下面这张图是人家发帖的时候就这样给故意带上的截图 不是我拼接的啊...上面敏感信息太多不能截图)

???

什么意思

下海了???

他的论坛ID就叫 猪会被杀掉

我赶紧截图发给朋友 然而没用全睡觉了

我就点进去看了看他的帖子

卧槽真下海啊?

只能说是抱着好奇的态度把第一个帖子里面的驱动下了下来

然后我就发现不太对劲了

这个cm.c一开始我以为是个C语言调用例子

结果我发现这玩意被隐藏了

一时间有点慌 以为中招 不会是7z的什么洞吧?一解压或者一打开就直接杀穿

但是转头一想 这些目录我都给封的死死的了 一点权限都没给开 应该也不能杀穿我才对

好家伙1.5M 而且是MZ开头的.c文件

这尼玛忽悠鬼呢?

我虚拟机有易语言环境 但是版本非常低 不过还是正常打开了文件

里面代码大概长这个样子 看起来非常正常

跑起来的话 就有问题了 我提前打开了pch和processhacker

我总感觉哪里不太对劲...

稍微修改了一下代码

我只是调试运行并没有点击任何东西 但是processhacker提醒我有驱动加载

即便我改成这样 我想要的弹框或者调试输出依旧没有 但驱动还是能正常加载

不过删除那句进程ID的代码以后 驱动就不会加载了 很奇怪

看不懂易语言的我解释一下 正常来说 是根本不会有代码运行的

并且明明前面那句代码还没跑 后面的代码自顾自的跑起来了

我放个早起的群大佬回复

我水平不太好 完全搞不懂这玩意是怎么跑起来的

这算是利用漏洞定向钓鱼么?

不太清楚 群友都睡了 问也不知道该问谁去

我只能先尝试给驱动抓出来了

本来还带着镜像保存的驱动上场 结果人家压根没想删除

驱动和服务名称每次都是随机的 释放在易语言temp目录下

IDA走你

感觉不太对 尺寸不太对

果然带壳子 这个体积看来应该是变异 并且没有打开保护导入表

从导入函数上看 的确是个普普通通的读写驱动...

目测读写方式是attach+rtlcopymemory

签名很接地气

驱动应该是个正常驱动 但是那个以MZ开头的.c文件我总觉得不太对劲

看不明白 有没有大佬能解释下为啥这个DLL能加载起来? 无论是调试运行还是编译出来运行 这个DLL都会加载

去掉那句代码就不会了

虽然想不明白 但是也只能IDA冲一下了

DLL看起来像是个"正经读写驱动"

然后我就看见了这个玩意

我艹大哥你是认真的啊?

不是究竟要怎么编译才能给自己的QQ号编译进去啊...

大哥很聪明 0年的小号

但是接下来的操作就让我有点搞不懂了...这东西起了一次http连接

为了验证不是我虚拟机易语言版本有问题被人下过东西

我特意把那个1.5M的C语言源码注入到了另外一个进程中

结果还是一样带http访问

嘶....

我把IP拿到360威胁情报中心去对比了一下 样本对不上 或许不是第一次作案了

下面那个地址访问了什么我是不敢乱点的

只能跑去开Wireshark抓包

抓完看了一下结构 普通get 拿到在线http请求测试发个包看看

似乎没什么可疑的东西 下面是个百度的代码统计Js

把这个域名放到奇安信威胁情报中心搜了一下

顺便一提 虽然我一直觉得我老东家不太行 但是这威胁情报真的比360那个好用

请问科技集团是舍不得开接口么?这边建议学习下企业安全集团

然后搜出来这个邮箱和企业

先查企业

这旗下域名是真多啊...而且这域名讲真很"正经"

按照我的推测 这个投资人跟实际干这个人的无关 大概率是个李鬼

至于这个 先社一波再说

1994年8月22日

反正还能继续往下查 但是没啥意义 所以我停了

至于"猪会被杀掉"

大概率是被拿来镇场子的 即便真下海 也应该不会明目张胆的暴露自己才对 不过我并不认识他本人 身边倒是很多人认识

至于SYS里面应该是没什么东西的 而且加壳了 不逆

虽然DLL没加 但是F5老出错 不会逆了 也没兴趣看里面到底写啥了...

唯独好奇的是这到底是什么漏洞还是BUG 能让哪条易语言代码莫名其妙的跑起来 还是说易语言并不是我想象中的那样运行的

最后还是回应群主要求宣传一下内核群:https://github.com/DragonQuestHero/WindowsKernelPrivateSymbolsDump

群里20年以上内核工作经验巨佬一名 十年以上安全岗经验大佬若干 0经验在校学生也有 逆向岗也有 渗透岗虽然少但也有

群成员90人左右 氛围极其和谐!

最后样本上传 有懂的可以研究下 群大佬万一有啥研究了我到时候回来更新

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)