首页
社区
课程
招聘
[原创]记Github上下载到的WinExplorer夹带私货
2023-11-9 23:42 7437

[原创]记Github上下载到的WinExplorer夹带私货

2023-11-9 23:42
7437

前言

起因是玩瓦罗兰特想搞4:3分辨率拉伸,搜B站教学让下载一个WinExplorer。于是我直接Google搜了一下发现这货排名还挺靠前,没多想直接下载。

笔者发现Github上没有给出源码,只有Release和Readme,没多想直接下载运行。一天后笔者发现任务管理器多了个Network5540.exe,我没多想以为是雷神加速器的辅助工具。手动提交到Windows Defender样本也一时半会儿扫不出来,但是感觉越来越不对劲。

冒牌winexp分析

文件名:winexp.exe
MD5:0843ed1a1b1b20c51e506ea1667e797c
SHA256:28ad48ce374b52c10d15cd06a5b4d5b97ed9c2710996fefac758b0a155e45d47

行为:运行后它将利用powershell运行指令添加到Windows Defender的排除项:

1
Add-MpPreference -ExclusionPath 'C:\\'

随后将./data/dotnet.dll复制为dotnet.bat并运行,启动真正的winexp.exe。


文件名:dotnet.dll
MD5:1db5fbd9dde9fd2ad90697c55b0f9012
SHA256:e304aa05f981d67335436b8e6fa070e14c1ccce7e88c523d7236414a51509c2c
行为:这个假DLL其实是个bat,打开看了一眼是一坨,里面应该藏了二进制程序在里面。运行后它会将自己复制为%APPDATA%/Network5540.cmd,释放一个powershell.exe并通过-c参数解密并加载运行Network5540.cmd中的二进制程序。
笔者修改cmd得到执行Powershell的指令,经过反混淆和整理后得到如下代码:

把这俩程序读出来保存一下,直接脱壳+IL2Spy。经过分析,这两个程序一个是用来绕过Windows Defender,另外一个是后门exe。感觉就是Hook了俩函数(AmsiScanBufferEtwEventWrite)就把Windows Defender放倒了...

后门exe行为

剪切板回调


如果匹配到你复制内容是比特币的地址的话还会给你替换成他的钱包地址。

按键监控


安装键盘钩子,记录窗口程序标题记录到%Temp%/Log.tmp文件中,笔者打开吓了一跳。

添加自启动

远程控制


总结

笔者并不是安全行业人员,水平很菜,写得有点啰嗦请见谅,感觉拆解别人的程序真好玩。
那个WinExp的Github页面搞得有模有样,笔者吃过的亏太少,给我的教训是不要觉得Github上都是正常开发人员,坏比无处不在。直到今天,Windows Defender提交的样本依旧是Pending状态,我还是下个火绒吧。


[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》,视频+靶场+题目!助力进入CTF世界

收藏
点赞12
打赏
分享
最新回复 (10)
雪    币: 17901
活跃值: (25552)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
秋狝 2023-11-10 09:21
2
1
感谢分享
雪    币: 2890
活跃值: (1272)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
MsScotch 2023-11-10 09:42
3
0
提个Issue 提醒后来者?
为什么不从nirsoft 下载?
雪    币: 64
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
Nixtap 2023-11-10 11:51
4
0
MsScotch 提个Issue 提醒后来者? 为什么不从nirsoft 下载?
已经report了
雪    币: 267
活跃值: (505)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
hypersine 2023-11-10 11:54
5
0
可以曝光它的c2服务器吗,方便人拉入黑名单
雪    币: 64
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
Nixtap 2023-11-10 13:41
6
0
hypersine 可以曝光它的c2服务器吗,方便人拉入黑名单
bloxstrap.theworkpc.com(94.130.130.51) 端口号118
雪    币: 10993
活跃值: (7450)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Genes 2023-11-13 14:45
7
1
这两年经常能见到git上投毒的。
雪    币: 2534
活跃值: (1710)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
唐伯虎five 2023-11-14 15:55
8
0

方便给下bin文件吗,github上删除跑路了

最后于 2023-11-14 15:56 被唐伯虎five编辑 ,原因:
雪    币: 64
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
Nixtap 2023-11-16 14:12
9
0
唐伯虎five 方便给下bin文件吗,github上删除跑路了

https://github.com/nixtap/Malware.Network5540ManReverse

samples里 解压密码见Readme

最后于 2023-11-16 23:53 被Nixtap编辑 ,原因:
雪    币: 515
活跃值: (191)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
chuxuezhe 2023-11-17 10:39
10
0
处处需要小心谨慎
雪    币: 191
活跃值: (156)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
共X党头子 2023-11-22 10:51
11
0
坏b无处不在
游客
登录 | 注册 方可回帖
返回