吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 7985|回复: 107
收起左侧

[PC样本分析] 好心群友给的外挂大礼包 -- 记一次远控马分析

  [复制链接]
星辰丿 发表于 2024-8-13 21:51
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
最近玩MC的3c3u服务器,是一个类似2b2t的无政府服务器,加了官方群,一个好心大哥给我发了一个挂。

73db1844e86277e402ed289fbd95150f.png

如此好心,我当然要开心地收下。

image-20240813192155269.png

UPX -d 脱掉

image-20240813192228213.png

IDA32启动

主程序

image-20240813192316850.png

WinMain就一个函数,跟进

image-20240813192559509.png

逻辑如图,跟踪一下函数,函数名和变量名都是我恢复的。一开始以为是SMC,后来发现是反射加载dll。加载函数如下。

image-20240813194241266.png

解密函数如下,一眼xxtea。

image-20240813192529754.png

至此程序逻辑已经较为清晰:反射加载dll,具体为从密文以标准xxtea算法解密数据,然后把数据地址传入加载dll函数,最后调用dll中的函数,函数名为前面传进来的StudyHard。

dll

dump dll的过程可谓艰辛,由于打CTF打多了,最开始写了一个c脚本,结果发现0x15000个u_int32似乎不好打印,后来又尝试保存到文本,效果也一般。(可能是IDA哪里分析出问题了)后来又尝试了下断点让他自己解密,因为他这个dll想执行最后肯定得以无加密方式执行,但是似乎有反调试,运行会卡住,跑不到解密的地方。(复盘时考虑可能是那些抛出异常的地方写了专门的处理,结合下图一堆函数猜测可能是自调反调试)

image-20240813195104441.png

最后采取的方案:虚拟机直接运行,转储运行文件。这个程序应该是写入计划任务了,重启发现虚拟机里面还有这个样本,那只能说是正合我意了。

image-20240813195351849.png

直接IDA分析这个内核转储文件。这里直接用windbg打开,显示

image-20240813195449765.png

吓了我一跳,还以为是天堂之门,后来群里大哥说是调用了64位dll就会这样,而且这样必须用IDA64分析了。
IDA64打开转储文件,直接按G jump到那个加密dll的地址。

image-20240813195840162.png

MZ开头,舒服了。

dump下来,32位IDA打开

StartAddress

image-20240813200632763.png

获取路径,写注册表,写开机启动,持久化。

DllMain

image-20240813201236953.png

查找explorer.exe

image-20240813202103209.png

查找父进程

image-20240813202131229.png

都没找到就退出。

image-20240813202405816.png

获取win版本。

image-20240813203054571.png

从URL下载文件,写入构造的地址(就是前面获取的)。

image-20240813210033453.png

查找rundll32.exe,找到就taskkill了。

image-20240813210534511.png

注册成服务。

image-20240813210923818.png

image-20240813210853057.png

等待服务器发送指令(域名不贴了,就是server_domin),控完while(1) sleep

image-20240813211253527.png

根据系统版本写启动项,驻留。其中win10就用前面分析的StartAdress。

StudyAdress
本来以为这才是正餐,分析了一下,大部分跟dllmain一样。。。
剩余部分有意思的函数

image-20240813205901446.png

image-20240813212420313.png

查找这161个杀软是否存在,看到这玩意我第一反应是真牛逼。。。。。

image-20240813212737099.png

scvh0st.exe,6.

至此已经拆的差不多了,控制方发送字符组成的指令序列,在被控机执行。
另外有意思的是作者把网站的80端口伪装成了一个没备案被拦截的页面,nmap扫了只有22 443 80开着,微步沙箱测到是在3xxxx上通信的,后面有空在研究了。

感谢这位群友送的大礼物。
image-20240813212648433.png
image-20240813210149293.png
image-20240813201243325.png

免费评分

参与人数 38威望 +1 吾爱币 +53 热心值 +32 收起 理由
StarAndRain + 1 谢谢@Thanks!
wanglove2450 + 1 + 1 用心讨论,共获提升!
Brashcx + 1 + 1 热心回复!
c1oudy1 + 1 谢谢@Thanks!
saibole666 + 1 用心讨论,共获提升!
ondwww + 1 + 1 我很赞同!
sw7057 + 1 热心回复!
allspark + 1 + 1 用心讨论,共获提升!
a2258555 + 1 + 1 谢谢@Thanks!
BIGSMATER + 1 + 1 谢谢@Thanks!
zhangdasi + 1 + 1 用心讨论,共获提升!
Nikos + 1 + 1 谢谢@Thanks!
Coldandcolder + 1 + 1 我很赞同!
SKZD + 1 + 1 我很赞同!
justvanity + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
thao01 + 1 + 1 热心回复!
MargaretTOTO + 1 + 1 用心讨论,共获提升!
binghe01 + 1 + 1 已经处理,感谢您对吾爱破解论坛的支持!
godlikeqz + 1 + 1 我很赞同!
Lisa99 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
海水很咸 + 1 + 1 我很赞同!
AuroraVerses + 1 我很赞同!
lalicorne + 1 我很赞同!
Hmily + 1 + 20 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
IneedWinter + 1 + 1 谢谢@Thanks!
a774733519 + 2 + 1 我很赞同!
3536825424 + 1 + 1 我很赞同!
afrend + 1 + 1 热心回复!
52pjShiron + 1 + 1 谢谢@Thanks!
redhat1019 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
唐小样儿 + 1 + 1 我很赞同!
arctan1 + 1 + 1 谢谢@Thanks!
Airiair + 1 + 1 热心回复!
恶魔天尊 + 1 我很赞同!
tcyv5 + 1 谢谢@Thanks!
qiguanghui8817 + 1 热心回复!
0jiao0 + 2 + 1 谢谢@Thanks!
lgc81034 + 1 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

Hmily 发表于 2024-8-14 16:31
图片居中看的太难受了,我给你取消直接默认靠左了,另外底部有2个图是不是插入丢了,补一下插入?
a13005746827 发表于 2024-8-14 00:08
有个疑问,病毒检测杀软后真的能干掉吗? 现在杀软不都是有主动防御
 楼主| 星辰丿 发表于 2024-8-13 22:04
justwz 发表于 2024-8-13 22:16
跟着大佬学逆向
LTCS888 发表于 2024-8-13 22:35
跟着大佬学逆向
cnmingxing 发表于 2024-8-13 23:19
感谢分享
丶七年 发表于 2024-8-13 23:32
上报网警,大哥是不是G了
Figxas 发表于 2024-8-13 23:56
笑死了,大哥估计也没想到来了个真家伙的哈哈,3c3u我貌似也玩过哈哈,2b2t就进去转了一圈。
bwcloud 发表于 2024-8-14 00:22
嗯哼?咋用?
yinsel 发表于 2024-8-14 00:46
膜拜大佬,分析的详略得当,学习了
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-25 02:13

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表