吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 90008|回复: 33
收起左侧

[PC样本分析] 国外网马探秘 - Blackhole Exploit Kit

  [复制链接]
是昔流芳 发表于 2012-1-30 19:31
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
例子: http://ireknennphole.com/index.php?tp=001e4bb7b4d7333d
看URL就知道这是BlackHole Exploit Kit.一份BlackHole Exploit Kit完全授权售价1500美元,需要注意的是,我提供的BlackHole Exploit Kit并非最新版,也并非提供了所有的漏洞支持.
目前已知利用的漏洞如下(版本不同,所支持的漏洞可能不同).
CVE-2010-1885 HCP
CVE-2010-1423 Java argument injection vulnerability in the URI handler in Java NPAPI plugin
CVE-2010-0886 Java Unspecified vulnerability in the Java Deployment Toolkit component in Oracle Java SE
CVE-2010-0842 Java JRE MixerSequencer Invalid Array Index Remote Code Execution Vulnerability
CVE-2010-0840 Java trusted Methods Chaining Remote Code Execution Vulnerability
CVE-2009-1671 Java buffer overflows in the Deployment Toolkit ActiveX control in deploys.dll
CVE-2009-0927 Adobe Reader Collab GetIcon
CVE-2008-2992 Adobe Reader util.printf
CVE-2007-5659 Adobe Reader CollectEmailInfo
CVE-2006-0003 IE MDAC

主页代码在此 http://pastebin.com/FXUE3vYB
01.png
中间脚本用来还原div标签中的内容.
注意这两句
e=window.eval;
e(s);
如果下断点,可以下在这里.
02.png
单步进入(F11)即可得到eval执行结果.
04.png
不下断点,也可切到DOM,找到变量s.
03.png
此为div标签中内容的还原结果.
http://pastebin.com/wKSD2T6b
除此之外,hccp.php的还原结果也可得到.
05.png
http://pastebin.com/ixpeJPLn
以上即为BlackHole Exploit Kit第一层的反混淆过程.
下面取得需要解析的文件,包括Flash,PDF,将Shellcode转为EXE文件以便调试(有些文件已经失效了).
先来调试Shellcode,载入文件,可以看到
http://pastebin.com/ajcfaSJN
XOR运算
http://pastebin.com/NDhGaX9q
至此,Shellcode的分析结束,得到http://ireknennphole.com/w.php?f=26&e=6.
使用PDFStreamDumper载入PDF,找到0x2C7到0x2F13的数据流,
06.png
http://pastebin.com/viWhnZED
提取脚本内容,复制到Malzilla中,可以得到Shellcode.
http://pastebin.com/TC8hN7we
这里的Shellcode用另一种方法看.
将Shellcode复制到malzilla的Misc Decoders中,选择UCS2 To Hex,然后使用Hex To File,保存下来.
用WinHex或类似的工具打开,可以看到地址.
07.png
PDFStreamDumper也可以得出Shellcode中的地址.
08.png
另一个PDF类似,不多说.
最后的hhcp.htm中的内容. 09.png
对于Jar文件,使用Java Decompiler反编译,得到源码,稍加分析便可得到同样的结果.
总的来说,这个版本的BlackHole Exploit Kit不难,较1.0.2混淆程度小了不少,但执行效率的提高是显而易见的.
这个算福利,看了这几张图,你就明白1500美元有多值了.
a.png
(出色的设置页面)
b.png
(丰富的统计页面)
6.png
(你见过用PDA操作的网马吗?)

Blackhole Exploit Kit 1.0.2 Download

免费评分

参与人数 10吾爱币 +4 热心值 +10 收起 理由
zyoo + 1 + 1 我很赞同!
KaQqi + 3 + 1 我很赞同!
kendling + 1 用心讨论,共获提升!
895515845 + 1 然而什么都看不懂
Dormleader + 1 新人不太懂。
yushan8603 + 1 用心讨论,共获提升!
sunbeat + 1 不明觉厉
noblesport + 1 我很赞同!
刘宏伟大人丶 + 1 我很赞同!
好色之徒 + 1 我很赞同!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

小怡 发表于 2015-1-10 07:13
这是什么网木,好强大!
zan163007 发表于 2015-1-8 13:42
独行浪客 发表于 2015-1-29 14:20
王旭东 发表于 2015-1-7 16:16
咦、不错哦、
♂成成の 发表于 2014-12-30 01:38
只能看明白界面...内容基本不懂..
weiquan44 发表于 2012-1-30 19:36
不知工具可否公布下。。。。
左边是左手 发表于 2012-2-4 19:54
挺多的
 楼主| 是昔流芳 发表于 2012-1-30 19:32
占楼,有不同版本的,补充.
 楼主| 是昔流芳 发表于 2012-1-30 19:33
同上

Between a high, solid wall and an egg that breaks against it, I will always stand on the side of the egg.  
oldmanguo 发表于 2012-1-31 10:24
我是来膜拜的……很强大 [s:20]
apple_lzf 发表于 2012-1-31 10:35
确实强大,价格对于大牛来说不算贵!!!
泪痕 发表于 2012-1-31 21:34
看看算了 不过有的地方看不懂
denghaisu 发表于 2012-1-31 21:39
学习学习,可是好多看不太懂
Linkasyan 发表于 2012-2-1 09:01
漏洞利用是主要亮点
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-28 07:37

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表