吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 14943|回复: 25
收起左侧

[PC样本分析] 样本区的一枚远控分析

  [复制链接]
hjm666 发表于 2019-8-1 13:35
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 hjm666 于 2019-8-1 18:09 编辑

  • 前言


    样本区的一·枚远控样本,对远控有些兴趣想了解,便下手了。  
地址:https://www.52pojie.cn/forum.php?mod=viewthread&tid=989404&extra=page%3D1%26filter%3Dtypeid%26typeid%3D15&page=1

样本信息


文件名
RServ.exe
文件大小
898728 字节
文件类型
PE32 executable (GUI) Intel 80386, for MS Windows
MD5
634caf9ff5ef2d2f66bdf06981260113


查壳

1.png

2.png
    无壳,但编译语言判断上有些迷,有这个原因,能猜测提供的样本还不是最初样本,还或是释放后的程序。

  • 环境与工具



环境:VMware   WinXP (x64)
工具:火绒剑、IDA、吾爱OD、process、PEID、pexplorer、smsniff、regsnap、hex wrokshop,reshack


  • 基础信息收集



静态分析,可疑字符串
3.png
4.png
敏感的API函数
5.png
在其资源文件中发现了一个大宝贝,dump下来进行保存
6.png


  • 基础动态分析



开启相关的监控软件,进行运行样本
火绒剑捕获了样本创建了一个.hlp系统帮助文件,并注册了服务
7.png
创建了一个bat可执行文件
8.png
新创建了一个进程组
9.png
查看这个新创建的进程组动作信息
10.png
注册表发现注册表,系统服务新增了一个键值
11.png
12.png
注册表查看其详情
13.png
14.png
网络信息截获
15.png
样本创建的隐藏目录下的隐藏hlp文件
16.png

  就此已经能够大致分析出核心代码是怎么运行起来的了,样本创建了一个windows系统服务,然后启动这个服务,通过svchost.exe进程加载核心代码,隐蔽稳定运行核心代码。


  • 深入分析



入口点
17.png
分析过程中发现了一个有意思的函数调用一些IDA和OD未检测出的函数
先加载相关dll的句柄
18.png
样本内存里存有一些API函数名字符串,通过寄存器偏移得到想要使用的api函数字符串地址,用getprocaddres函数将最终API函数的地址获取,随后调用这个函数,达到避过检测隐蔽效果,同时样本中含有大量的指针函数,内存地址中存放着函数地址,大大干扰了分析
19.png

20.png
大致流程
21.png
截取到创建互斥体
22.png

48.png
在继续获得系统环境,以及进行判断系统操作系统版本
23.png
同样是利用00411B90函数进行调用函数,截取到敏感函数,提权函数,以及免杀函数,在进行安全扫描是返回垃圾数据,这两个函数都在官方文档中未查找到,未公开,经过一番百度蛛丝马迹不得其详解。
24.png

创建了这个Remote.hlp文件,并将一段PE数据写入,经对对比数据,发现是在资源文件中发现的大宝贝
49.png

26.png
进行设置了文件夹,文件属性
27.png

28.png

29.png
重头戏创建系统服务
30.png
服务中查看
31.png
随后继续创建它的子项,其中Parameters项指向这个样本释放的伪装的.hlp后缀,windows系统的帮助文件
32.png

33.png
开启这个服务
34.png
利用net.exe继续开启这个服务
35.png
继续创建了一个bat文件,向其中写入了相关数据
36.png
在这个bat文件删除前,截获,发现ping  127.0.0.1  以及删除原本,以及自身文件
37.png
至此,通过创建的服务,启动核心代码,核心代码已经在计算机中潜藏并隐蔽运行

  如何解决,删除相关后门服务,以及释放文件,可以停止其连接和启动,最终还是要看中了远控后,是都留下后门,以及建立隐藏超级用户等等方面

  • 远控核心代码



  到了核心代码,这时我们就要来了解下远控原理了。
远控运行原理是一种很简单的运行原理,分为控制端,被控端;被控端与控制端建立一个稳定的长期的连接通道,用于接收控制端发送给被控端的指令,被控端接收到指令后进行执行,或者是被控端向控制端传输控制者想要的数据,以来达到控制者的意图。
在上面的前提上,远控程序需要一定的隐蔽性,一定的权限,以及长期在线的功能,其余,远控在原理上大同小异,不同的是不同的远控在能实现控制者意图的功能上的区别。

详细:https://www.freebuf.com/articles/system/166876.html

这个核心的代码也沿用了RServ.exe中00411B90函数的方法,进行使用一些API函数
40.png
获得本机IP,访问的网站ip:223.82.248.117
38.png
浏览器访问回显
47.png
与目标服务器进行建立连接 ,目标服务器ip:223.82.248.117
39.png
emmm 由于这个远控的功能挺全衍生的大量的函数,足足有2000多个····
41.png
不过作者为了方便自己编写,使用了大量的中文字符,所以我们也很容易通过字符,找到其功能操作的地方,我也就不上太多实现功能的函数图了,函数太长,就上一些分析出了字符串展现一些它所拥有的功能
42.png
43.png
44.png
45.png
46.png

好好学习,天天向上,如有错,望指正,谢谢!!



25.png

免费评分

参与人数 9威望 +1 吾爱币 +14 热心值 +7 收起 理由
鬼君子 + 1 我很赞同!
samoul + 1 + 1 谢谢@Thanks!
Hmily + 1 + 7 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
bbluesex + 1 + 1 用心讨论,共获提升!牛逼啊 大神
冷凯 + 1 热心回复!
嘻嘻斯基 + 1 + 1 我很赞同!
Bds1r + 1 + 1 我很赞同!
Blank空白 + 1 + 1 大神,收下我的膝盖
FleTime + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| hjm666 发表于 2019-12-25 11:23
迷失的废墟 发表于 2019-12-25 09:57
请问这个代码是用什么工具查看的吗?怎么把源代码搞出来的呀?
还有上面第一个静态分析的蓝色界面的是什么 ...

吾爱有新手扫盲贴,建议去病毒分析区看看
 楼主| hjm666 发表于 2019-8-1 18:20
startkitty 发表于 2019-8-1 18:01
看函数是用IDA 的MSDN Annotations插件吗

目前还没专门去下过ida的插件,用的是吾爱工具包集成的
jay20070223 发表于 2019-8-1 14:03
筱传说 发表于 2019-8-1 14:06
大佬大佬,学习了!
不依baya 发表于 2019-8-1 14:40
大佬高手,
茉莉玫瑰 发表于 2019-8-1 15:11
厉害了,虽说我看都看不懂,但是感觉很厉害的样子!
lep52 发表于 2019-8-1 16:01
高手,学习一下
全能玩 发表于 2019-8-1 17:13
谢谢大佬的分析 ,感触颇深
全能玩 发表于 2019-8-1 17:47
那个帮助文档其实可以直接当dll调用运行的,
 楼主| hjm666 发表于 2019-8-1 17:52
全能玩 发表于 2019-8-1 17:47
那个帮助文档其实可以直接当dll调用运行的,

我造啊,那个太大,不爽,就没用
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 11:34

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表