大灰狼远控木马分析
本帖最后由 pj66666666 于 2022-5-26 14:39 编辑样本信息:
文件: C:\Users\15PB\Desktop\SB360.exe
大小: 40960 bytes
修改时间: 2020年5月17日, 14:36:36
MD5: 0902B9FF0EAE8584921F70D12AE7B391
SHA1: F71B9183E035E7F0039961B0AC750010808EBB01
CRC32: 378E90E3
利用die查看程序没有保护壳,
可以利用ida进行分析。
直接查看程序入口函数,发现程序不断调用Sleep函数来干扰杀毒软件。
然后通过解密函数对配置信息进行解密
解密函数的分析,通过rc4算法解密
首先根据解密后的配置信息决定启动方式,直接启动,通过服务启动,修改注册表
SOFTWARWE\\Microsoft\\Windows\\CurrentVersion\\Run开机启动,然后读取并保存
注册表信息,最后进入真正的入口函数。
入口函数:
occupy_file函数:
病毒根据配置信息决定是否以独占方式运行,是病毒无法被删除
通过AdjustTokenPrivileges提权
通过OpenProcess打开System进程
通过CreatFile打开独占大文件句柄
通过DuplicateHandle将文件举报复制到System进程中
通过Socket_main函数进入和服务器通信的流程
connect_server函数:
recv_proc回调函数:
接下来初始化socket,创建一个线程,循环接受从远程主控端发来的数据
远控功能:
先从远程服务器下载插件动态链接库,然后动态申请内存,模拟pe装载流程,将恶意代码加载到内存,通过模拟GetProcAddress调用动态链接库的导出函数。
病毒对动态链接库文件格式做了加密,修改pe前两个字节,将前两个字节修改为MZ,
用ida进行分析。
语音监控:
使用Windows波音音频API实现录音功能
DDOS攻击:
会开启一个线程循环向指定服务器发送攻击数据包
查看磁盘目录:
使用GetLogicalDriveStrings获取当前所有驱动器根路径的剩余空间
键盘记录:
创建一个线程,循环使用GetKeyState,GetAsyncKeyState API循环遍历所有键盘的虚拟键状态,如果状态为按下,就将按键信息保存到文件中。
检查窗口:
通过EnumWindows遍历所有窗口,检查指定的窗口是否存在
进程窗口管理:
通过进程快照遍历进程,通过EnumProcessModules函数获取进程的模块信息
打开网页:
通过注册表路径HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command获取浏览器的路径,最后通过CreateProcessA创建浏览器进程,打开主控端传递的URL地址。
虽然看不懂,但还是认真的看了一遍 luted 发表于 2022-8-3 21:50
请问如何防范呢, 是不是把高危端口封了就好了
高危端口封了也不是一劳永逸的方法,主要还是不要乱下载东西,陌生人的链接不要点,下载东西一定要在认证的官网上下载 学习了不错 历害,楼主 学习了,分析NB 最好用的远控 写的很详细,楼主用心了。 学习啊,不错的呢! 分析很细致,学习了 学习了!
学习了不错