[求助]样本定位C2和加解密逻辑-求助问答-看雪安全社区

[已解决] [求助]样本定位C2和加解密逻辑 100雪币

发表于: 2025-4-30 17:22 2722

[已解决] [求助]样本定位C2和加解密逻辑 100雪币

qux

2025-4-30 17:22

2722

一个在vt零查杀的样本

f71K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2$3K9i4u0#2M7%4c8G2N6r3q4D9i4K6u0W2j5$3!0E0i4K6u0r3k6%4g2A6i4K6u0r3k6X3W2D9k6g2)9J5c8U0p5$3k6r3x3%4x3e0M7J5x3r3t1&6z5o6p5^5k6X3f1@1z5o6g2T1y4o6b7%4k6X3f1^5k6U0t1&6x3K6q4V1x3K6x3$3x3$3x3K6y4o6b7J5j5U0j5I4y4U0j5@1k6U0S2W2k6o6V1^5x3X3p5^5z5o6j5^5y4U0V1I4k6X3x3`.

是一个rar文件，其中有2个文件：

稽查人员名单.exe
vulkan-1.dll

乍一看以为是白加黑，但vulkan-1.dll只是一堆数据

稽查人员名单.exe中搜索"vulkan-1.dll"，可以找到关键解密位置，调试得到一个exe: vulkan-1.dll.decrypted

vulkan-1.dll.decrypted中存在一个明文ip: 43.135.17.68 微步上标签为银狐

运行抓流量可以发现2个外连地址和相应的加密流量：

- 110.242.70.57

- 18.143.121.97

但是在vulkan-1.dll.decrypted中却找不到这2个ip，求助有什么方法可以定位到上面2个外连地址和加密流量是怎么解密的

附件是 vulkan-1.dll.decrypted、流量.pcapng，密码 infected

传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

流量和解密文件.7z （887.95kb，13次下载）

收藏・0

免费・0

支持

最新回复 (10)
TurkeybraNC 雪币： 2080 活跃值： (2030) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 24 粉丝 27 关注私信	TurkeybraNC 2 楼这个数据解密结果应该存在一个全局变量里，分了三段解密，就是unk_17017ABE0，它依照偏移定位，解密三段字符串，比如第一个： if ( !byte_170196224 ) { v16 = 0LL; v17 = 0; do { v18 = (&unk_17017ABE0 + v16 + 407); //取原始数据 v19 = (&unk_17017ABE0 + v16 + -22 * (v16 / 0x16) + 385); if ( ((v16 * v19) & 1 ) != 0 ) //选择不同的解密路径 v20 = -(v19 ^ (v18 - v17)); else v20 = ~(v19 ^ (v17 + v18)); v17 = v19 ^ v20; byte_170196208[v16++] = v19 ^ v20; //解密后存储在byte_170196208 } while ( v16 != 28 ); byte_170196224 = 1; } 所以加密字符串被拆分存储在unk_17017ABE0区域的不同偏移位置，每个字符被分解为两个或多个部分。可以下内存断点直接捕获解密数据，或者对getaddrinfo下断来一步步分析解密，应该可以DUMP出数据，但是具体的数据包构造还没逆出来。 2025-5-3 11:49 0
TurkeybraNC 雪币： 2080 活跃值： (2030) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 24 粉丝 27 关注私信	TurkeybraNC 3 楼 err，不好意思，昨天那个分三段解密的只是功能选择字符串的解密，至于正文的解密采用RC4，先初始化S盒，同时遍历链表节点来对抗动态分析S盒的位置，然后分两次生成33和34字节密钥片段，再动态选择异或或取反操作合并生成密钥，完成KSA步骤，从而加密或解密。 2025-5-4 10:49 0
qux 雪币： 15435 活跃值： (8018) 能力值： ( LV5，RANK：77 ) 在线值：发帖 36 回帖 138 粉丝 21 关注私信	qux 4 楼 TurkeybraNC err，不好意思，昨天那个分三段解密的只是功能选择字符串的解密，至于正文的解密采用RC4，先初始化S盒，同时遍历链表节点来对抗动态分析S盒的位置，然后分两次生成33和34字节密钥片段，再动态选择异或或 ... 您好，有找到这2个ip吗？ - 110.242.70.57 - 18.143.121.97 2025-5-5 17:11 0
TurkeybraNC 雪币： 2080 活跃值： (2030) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 24 粉丝 27 关注私信	TurkeybraNC 5 楼 qux 您好，有找到这2个ip吗？ - 110.242.70.57 - 18.143.121.97 您好，还没有找到，这个IP是物理机上获得吗？ 2025-5-6 23:20 0
qux 雪币： 15435 活跃值： (8018) 能力值： ( LV5，RANK：77 ) 在线值：发帖 36 回帖 138 粉丝 21 关注私信	qux 6 楼 TurkeybraNC 您好，还没有找到，这个IP是物理机上获得吗？是在虚拟机里运行样本，wireshark抓包发现的 2025-5-7 07:16 0
HugeBird 雪币： 82 活跃值： (530) 能力值： ( LV4，RANK：42 ) 在线值：发帖 3 回帖 11 粉丝 0 关注私信	HugeBird 7 楼 110.242.70.57这个应该是百度，另外一个应该也是域名解析。可以跟下getaddrinfo，里面都是类。。我懒得看了 2025-5-7 17:13 1
qux 雪币： 15435 活跃值： (8018) 能力值： ( LV5，RANK：77 ) 在线值：发帖 36 回帖 138 粉丝 21 关注私信	qux 8 楼 HugeBird 110.242.70.57这个应该是百度，另外一个应该也是域名解析。可以跟下getaddrinfo，里面都是类。。我懒得看了 110.242.70.57确实是百度，对请求返回了400响应码， 18.143.121.97应该是真实的C2，返回了加密的内容，而且之前没有相关的DNS解析记录，应该不是域名解析出来的 2025-5-7 17:34 0
HugeBird 雪币： 82 活跃值： (530) 能力值： ( LV4，RANK：42 ) 在线值：发帖 3 回帖 11 粉丝 0 关注私信	HugeBird 9 楼动态跟收发包吧，这东西静态看有点烧脑 2025-5-7 17:48 1
HugeBird 雪币： 82 活跃值： (530) 能力值： ( LV4，RANK：42 ) 在线值：发帖 3 回帖 11 粉丝 0 关注私信	HugeBird (+75雪币) 10 楼 qux 110.242.70.57确实是百度，对请求返回了400响应码，18.143.121.97应该是真实的C2，返回了加密的内容，而且之前没有相关的DNS解析记录，应该不是域名解析出来的理论上这个baidu应该是测网络通不通，然后cc发包应该就在附近。能找到一个收发包应该就不远了。。 2025-5-7 18:01 (+75雪币) 1
qux 雪币： 15435 活跃值： (8018) 能力值： ( LV5，RANK：77 ) 在线值：发帖 36 回帖 138 粉丝 21 关注私信	qux 11 楼数据是用WSASend发送的，和0x3A异或 2025-5-8 18:33 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

qux

发帖

138

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (10)
TurkeybraNC 雪币： 2080 活跃值： (2030) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 24 粉丝 27 关注私信	TurkeybraNC 2 楼这个数据解密结果应该存在一个全局变量里，分了三段解密，就是unk_17017ABE0，它依照偏移定位，解密三段字符串，比如第一个： if ( !byte_170196224 ) { v16 = 0LL; v17 = 0; do { v18 = (&unk_17017ABE0 + v16 + 407); //取原始数据 v19 = (&unk_17017ABE0 + v16 + -22 * (v16 / 0x16) + 385); if ( ((v16 * v19) & 1 ) != 0 ) //选择不同的解密路径 v20 = -(v19 ^ (v18 - v17)); else v20 = ~(v19 ^ (v17 + v18)); v17 = v19 ^ v20; byte_170196208[v16++] = v19 ^ v20; //解密后存储在byte_170196208 } while ( v16 != 28 ); byte_170196224 = 1; } 所以加密字符串被拆分存储在unk_17017ABE0区域的不同偏移位置，每个字符被分解为两个或多个部分。可以下内存断点直接捕获解密数据，或者对getaddrinfo下断来一步步分析解密，应该可以DUMP出数据，但是具体的数据包构造还没逆出来。 2025-5-3 11:49 0
TurkeybraNC 雪币： 2080 活跃值： (2030) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 24 粉丝 27 关注私信	TurkeybraNC 3 楼 err，不好意思，昨天那个分三段解密的只是功能选择字符串的解密，至于正文的解密采用RC4，先初始化S盒，同时遍历链表节点来对抗动态分析S盒的位置，然后分两次生成33和34字节密钥片段，再动态选择异或或取反操作合并生成密钥，完成KSA步骤，从而加密或解密。 2025-5-4 10:49 0
qux 雪币： 15435 活跃值： (8018) 能力值： ( LV5，RANK：77 ) 在线值：发帖 36 回帖 138 粉丝 21 关注私信	qux 4 楼 TurkeybraNC err，不好意思，昨天那个分三段解密的只是功能选择字符串的解密，至于正文的解密采用RC4，先初始化S盒，同时遍历链表节点来对抗动态分析S盒的位置，然后分两次生成33和34字节密钥片段，再动态选择异或或 ... 您好，有找到这2个ip吗？ - 110.242.70.57 - 18.143.121.97 2025-5-5 17:11 0
TurkeybraNC 雪币： 2080 活跃值： (2030) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 24 粉丝 27 关注私信	TurkeybraNC 5 楼 qux 您好，有找到这2个ip吗？ - 110.242.70.57 - 18.143.121.97 您好，还没有找到，这个IP是物理机上获得吗？ 2025-5-6 23:20 0
qux 雪币： 15435 活跃值： (8018) 能力值： ( LV5，RANK：77 ) 在线值：发帖 36 回帖 138 粉丝 21 关注私信	qux 6 楼 TurkeybraNC 您好，还没有找到，这个IP是物理机上获得吗？是在虚拟机里运行样本，wireshark抓包发现的 2025-5-7 07:16 0
HugeBird 雪币： 82 活跃值： (530) 能力值： ( LV4，RANK：42 ) 在线值：发帖 3 回帖 11 粉丝 0 关注私信	HugeBird 7 楼 110.242.70.57这个应该是百度，另外一个应该也是域名解析。可以跟下getaddrinfo，里面都是类。。我懒得看了 2025-5-7 17:13 1
qux 雪币： 15435 活跃值： (8018) 能力值： ( LV5，RANK：77 ) 在线值：发帖 36 回帖 138 粉丝 21 关注私信	qux 8 楼 HugeBird 110.242.70.57这个应该是百度，另外一个应该也是域名解析。可以跟下getaddrinfo，里面都是类。。我懒得看了 110.242.70.57确实是百度，对请求返回了400响应码， 18.143.121.97应该是真实的C2，返回了加密的内容，而且之前没有相关的DNS解析记录，应该不是域名解析出来的 2025-5-7 17:34 0
HugeBird 雪币： 82 活跃值： (530) 能力值： ( LV4，RANK：42 ) 在线值：发帖 3 回帖 11 粉丝 0 关注私信	HugeBird 9 楼动态跟收发包吧，这东西静态看有点烧脑 2025-5-7 17:48 1
HugeBird 雪币： 82 活跃值： (530) 能力值： ( LV4，RANK：42 ) 在线值：发帖 3 回帖 11 粉丝 0 关注私信	HugeBird (+75雪币) 10 楼 qux 110.242.70.57确实是百度，对请求返回了400响应码，18.143.121.97应该是真实的C2，返回了加密的内容，而且之前没有相关的DNS解析记录，应该不是域名解析出来的理论上这个baidu应该是测网络通不通，然后cc发包应该就在附近。能找到一个收发包应该就不远了。。 2025-5-7 18:01 (+75雪币) 1
qux 雪币： 15435 活跃值： (8018) 能力值： ( LV5，RANK：77 ) 在线值：发帖 36 回帖 138 粉丝 21 关注私信	qux 11 楼数据是用WSASend发送的，和0x3A异或 2025-5-8 18:33 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复