吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 11605|回复: 55
上一主题 下一主题
收起左侧

[PC样本分析] 大灰狼远控木马分析

  [复制链接]
跳转到指定楼层
楼主
pj66666666 发表于 2022-5-26 14:23 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 pj66666666 于 2022-5-26 14:39 编辑

样本信息:
文件: C:\Users\15PB\Desktop\SB360.exe
大小: 40960 bytes
修改时间: 2020年5月17日, 14:36:36
MD5: 0902B9FF0EAE8584921F70D12AE7B391
SHA1: F71B9183E035E7F0039961B0AC750010808EBB01
CRC32: 378E90E3


利用die查看程序没有保护壳,
可以利用IDA进行分析。


直接查看程序入口函数,发现程序不断调用Sleep函数来干扰杀毒软件。


然后通过解密函数对配置信息进行解密


解密函数的分析,通过rc4算法解密





首先根据解密后的配置信息决定启动方式,直接启动,通过服务启动,修改注册表
SOFTWARWE\\Microsoft\\Windows\\CurrentVersion\\Run开机启动,然后读取并保存
注册表信息,最后进入真正的入口函数。
入口函数:



occupy_file函数:



病毒根据配置信息决定是否以独占方式运行,是病毒无法被删除
通过AdjustTokenPrivileges提权
通过OpenProcess打开System进程
通过CreatFile打开独占大文件句柄
通过DuplicateHandle将文件举报复制到System进程中
通过Socket_main函数进入和服务器通信的流程




connect_server函数:







recv_proc回调函数:


接下来初始化socket,创建一个线程,循环接受从远程主控端发来的数据

远控功能:




先从远程服务器下载插件动态链接库,然后动态申请内存,模拟pe装载流程,将恶意代码加载到内存,通过模拟GetProcAddress调用动态链接库的导出函数。
病毒对动态链接库文件格式做了加密,修改pe前两个字节,将前两个字节修改为MZ,
用ida进行分析。




语音监控:
使用Windows波音音频API实现录音功能







DDOS攻击:
会开启一个线程循环向指定服务器发送攻击数据包




查看磁盘目录:
使用GetLogicalDriveStrings获取当前所有驱动器根路径的剩余空间



键盘记录:
创建一个线程,循环使用GetKeyState,GetAsyncKeyState API循环遍历所有键盘的虚拟键状态,如果状态为按下,就将按键信息保存到文件中。


检查窗口:
通过EnumWindows遍历所有窗口,检查指定的窗口是否存在

进程窗口管理:
通过进程快照遍历进程,通过EnumProcessModules函数获取进程的模块信息





打开网页:
通过注册表路径HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command获取浏览器的路径,最后通过CreateProcessA创建浏览器进程,打开主控端传递的URL地址。




image.png (37.37 KB, 下载次数: 6)

image.png

免费评分

参与人数 5吾爱币 +11 热心值 +2 收起 理由
warobot + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
qq2060412 + 1 + 1 我很赞同!
uc359599080 + 1 我很赞同!
tail88 + 1 谢谢@Thanks!
Hmily + 7 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
pywm 发表于 2023-3-2 23:03
虽然看不懂,但还是认真的看了一遍
推荐
Satori 发表于 2022-11-24 08:42
luted 发表于 2022-8-3 21:50
请问如何防范呢  , 是不是把高危端口封了就好了

高危端口封了也不是一劳永逸的方法,主要还是不要乱下载东西,陌生人的链接不要点,下载东西一定要在认证的官网上下载
沙发
咔c君 发表于 2022-5-28 11:09
3#
9992979 发表于 2022-5-28 11:34
历害,楼主
4#
爱折腾 发表于 2022-5-28 11:49
学习了,分析NB
5#
skyadmin 发表于 2022-5-28 13:51
最好用的远控
6#
xuexiba 发表于 2022-5-28 14:12
写的很详细,楼主用心了。
7#
photocs 发表于 2022-5-28 15:10
学习啊,不错的呢!
8#
metoo2 发表于 2022-5-28 15:10
分析很细致,学习了
9#
bingpocanying 发表于 2022-5-28 20:10
学习了!
10#
smallfiveya 发表于 2022-5-30 10:51

学习了不错
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 07:06

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表