吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 13618|回复: 25
收起左侧

[PC样本分析] 最常见的SSHD后门分析

  [复制链接]
Net丶S 发表于 2018-4-26 16:33
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 Net丶S 于 2018-4-27 15:53 编辑

上周收到一个SSHD后门,正好在学习逆向,就像分析一下,这个后门是一个linux下64位的ELF文件,我没用过IDA,于是边学边做。在网上搜索了很长时间,没有找到关于SSHD后门的分析文章,其实过程非常简单,发出来分享一下。
分析过程很简单,把二进制文件直接拖入IDA中,没用过IDA,中间很多学习的过程就不说了,直接说步骤:
IDA有一个窗口是查看文件中的字符串,一般来讲后门肯定是有一个万能密码的,所以先打开字符串窗口,发现很多字符串,直接搜索password,发现一个非常可疑的字符串:+user:%s+password:%s\n;
字符串.png
这个很明显是c语言格式化输出用户名和密码,直接双击点进去查看汇编,找到了反汇编之后的字符串:
2.png
双击data后面IDA解析的内容,查看汇编,找到了输出的位置:
3.png
大佬可以直接分析汇编,但是IDA还有两个个功能:一个是切换流程图视图,一个是F5大法转化为伪C语言,先按空格转化为流程图:
4.png
直接就发现,右边有一个名字是backdoor_active的函数,往上翻到调用这个函数的地方,即auth_password函数开始,发现程序会把密码和一串字符对比,如果相同,就会直接调用backdoor函数,绕过验证,直接登陆:
5.png
这个就是后门文件的万能密码。反过来在看左边,如果密码不是万能密码的话会一步一步验证,到+user:%s+password:%s\n;字符创的位置会打开一个文件,并将这部分打印到这个文件中,这样就记录了所有登陆过的用户名和密码:
6.png
最后再看一下F5的伪C语言代码,流程比较清晰,这个后门放用户名和密码的文件伪装性还不错:
7.png

附件是后门样本
sshd后门.7z (290.46 KB, 下载次数: 61)



免费评分

参与人数 8威望 +1 吾爱币 +14 热心值 +8 收起 理由
tinglie + 1 + 1 谢谢@Thanks!
Hmily + 1 + 10 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
lookerJ + 1 谢谢@Thanks!
wisoft + 1 + 1 谢谢@Thanks!
the-one + 1 + 1 谢谢@Thanks!
mscsky + 1 谢谢@Thanks!
drw888 + 1 + 1 我很赞同!
610100 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| Net丶S 发表于 2018-4-27 11:03
xuanqing 发表于 2018-4-27 07:41
这是给别人下马用的么

黑了别人的服务器,把SSH远程连接的可执行文件替换成这个,他就可以随便用万能密码登陆,然后查看那个文件就可以知道这个主机的管理员密码,长时间控制别人机器
 楼主| Net丶S 发表于 2018-4-27 15:54
Hmily 发表于 2018-4-27 14:14
@Net丶S 使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件 ...

好的,我修改一下
stxxb 发表于 2018-4-26 17:42
drw888 发表于 2018-4-26 18:39
谢谢@Thanks!
darkmacan 发表于 2018-4-26 20:32
看了其中的偽C語言的代碼,真的寫得很高超呀!
FirstSame 发表于 2018-4-26 20:47
学习了,谢谢大佬的分析。
shagua 发表于 2018-4-26 20:52
很厉害 点赞
mxqqw 发表于 2018-4-26 21:49
感谢分享,伪c这块很清楚
lhp369 发表于 2018-4-26 22:51
感谢分享,好好学习一下
xuanqing 发表于 2018-4-27 07:41
这是给别人下马用的么
hairch 发表于 2018-4-27 07:54
非常感谢楼主的分享!支持...
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 10:33

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表