首页
社区
课程
招聘
[原创]记Github上下载到的WinExplorer夹带私货
发表于: 2023-11-9 23:42 12002

[原创]记Github上下载到的WinExplorer夹带私货

2023-11-9 23:42
12002

起因是玩瓦罗兰特想搞4:3分辨率拉伸,搜B站教学让下载一个WinExplorer。于是我直接Google搜了一下发现这货排名还挺靠前,没多想直接下载。

笔者发现Github上没有给出源码,只有Release和Readme,没多想直接下载运行。一天后笔者发现任务管理器多了个Network5540.exe,我没多想以为是雷神加速器的辅助工具。手动提交到Windows Defender样本也一时半会儿扫不出来,但是感觉越来越不对劲。

文件名:winexp.exe
MD5:0843ed1a1b1b20c51e506ea1667e797c
SHA256:28ad48ce374b52c10d15cd06a5b4d5b97ed9c2710996fefac758b0a155e45d47

行为:运行后它将利用powershell运行指令添加到Windows Defender的排除项:

随后将./data/dotnet.dll复制为dotnet.bat并运行,启动真正的winexp.exe。

文件名:dotnet.dll
MD5:1db5fbd9dde9fd2ad90697c55b0f9012
SHA256:e304aa05f981d67335436b8e6fa070e14c1ccce7e88c523d7236414a51509c2c
行为:这个假DLL其实是个bat,打开看了一眼是一坨,里面应该藏了二进制程序在里面。运行后它会将自己复制为%APPDATA%/Network5540.cmd,释放一个powershell.exe并通过-c参数解密并加载运行Network5540.cmd中的二进制程序。
笔者修改cmd得到执行Powershell的指令,经过反混淆和整理后得到如下代码:

把这俩程序读出来保存一下,直接脱壳+IL2Spy。经过分析,这两个程序一个是用来绕过Windows Defender,另外一个是后门exe。感觉就是Hook了俩函数(AmsiScanBufferEtwEventWrite)就把Windows Defender放倒了...


如果匹配到你复制内容是比特币的地址的话还会给你替换成他的钱包地址。


安装键盘钩子,记录窗口程序标题记录到%Temp%/Log.tmp文件中,笔者打开吓了一跳。


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 12
支持
分享
最新回复 (11)
雪    币: 3573
活跃值: (31026)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
感谢分享
2023-11-10 09:21
1
雪    币: 3255
活跃值: (1921)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
提个Issue 提醒后来者?
为什么不从nirsoft 下载?
2023-11-10 09:42
0
雪    币: 64
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
4
MsScotch 提个Issue 提醒后来者? 为什么不从nirsoft 下载?
已经report了
2023-11-10 11:51
0
雪    币: 267
活跃值: (625)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
可以曝光它的c2服务器吗,方便人拉入黑名单
2023-11-10 11:54
0
雪    币: 64
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
6
hypersine 可以曝光它的c2服务器吗,方便人拉入黑名单
bloxstrap.theworkpc.com(94.130.130.51) 端口号118
2023-11-10 13:41
0
雪    币: 12987
活跃值: (9573)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
这两年经常能见到git上投毒的。
2023-11-13 14:45
1
雪    币: 2553
活跃值: (2325)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8

方便给下bin文件吗,github上删除跑路了

最后于 2023-11-14 15:56 被唐伯虎five编辑 ,原因:
2023-11-14 15:55
0
雪    币: 64
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
9
唐伯虎five 方便给下bin文件吗,github上删除跑路了

https://github.com/nixtap/Malware.Network5540ManReverse

samples里 解压密码见Readme

最后于 2023-11-16 23:53 被Nixtap编辑 ,原因:
2023-11-16 14:12
0
雪    币: 540
活跃值: (216)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
处处需要小心谨慎
2023-11-17 10:39
0
雪    币: 191
活跃值: (237)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
坏b无处不在
2023-11-22 10:51
0
雪    币: 104
活跃值: (50)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
现在投毒的太多了,防不胜防
2024-12-13 16:50
0
游客
登录 | 注册 方可回帖
返回
//