吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 35956|回复: 136
收起左侧

[PC样本分析] PC木马分析

    [复制链接]
Assassin_ 发表于 2019-6-26 09:14
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!

Delphi- 木马分析

0x0 前言

样本本身为Delphi编写,本人并不精通Delphi编写的思路,所以如果存在纰漏或者错误,还请指出,共同进步。样本本身因为存在混淆,乱序,并且我没有找到可以去混淆乱序的工具,只能手动调试。看起来比较麻烦。适合新手。

0x01 样本信息

样本MD5:  067C37A6C5CFF406520914AABACA3136
样本大小: 537K
语言: Delphi
来源:
https://www.virustotal.com/gui/file/9ae664348eb29f92142f177b1abb142ca93bb35246165e8fc62f965d337be71b/detection

查壳,Delphi编写
1561106631899.png

0x02 环境与工具

Win 32、OD、IDA、python

0x03 分析

原始样本分析

寻找突破口

整体看结构,比较清晰。

1561106755819.png

进入第一个函数中 InitExe()中。找到关键点

1561107102206.png

动态调试,查看赋值起始地址为 0x00453FD0

看到这些函数指针,猜测这里应该是初始化的时候依次调用,联想C语言中的init函数,这里很可能存在恶意代码

1561433120104.png

通过排查,发现倒数第二函数,为关键函数

1561107600206.png

至此我们就发现了关键点,接下来就动态了,这里说一句,可能读者会想为什么是这里呢?其实我也是慢慢调试出来的,虽然不可能完全正确,但是恶意行为发生在这里,我们不可能所有语言都了解,当遇到一种不熟悉甚至可能是陌生的语言环境,能够最快的上手这才能够达标。如果这一切如果能有理论支撑,才算比较好的操作。

第一次解密运行

接下来动态调试

进入函数发现很多无用代码和内存申请在赋值在释放的过程,并且存在sleep过程,该过程耗时较长,猜测可能是防止沙箱等检测。

1561113853874.png

1561113434187.png

经过等待之后,再次申请0X5E4D的空间并异或解密赋值,通过push\ret操作,指向解密代码

1561113511544.png
1561113642293.png

乱序+各种简单反调试

当看到这些乱序代码时,可以暂时开启run跟踪功能,耐心一点就可以。

1561114453036.png

首先根据PEB找到Kernel模块,然后通过导出表找到对应API

1561115670488.png
1561115747109.png

样本先找到VirtualAlloc地址,通过调用申请空间,接下来将得到的API地址和模块地址全部存放在该空间

1561341579148.png

创建快照,遍历进程,记录其PID和name

1561342371900.png
1561342492683.png

接下来就是一些简单的反调试

1) 通过CPUID获取处理器然后比较

1561345298182.png

2) 比较文件名反调试

1561345656105.png
3) 反杀软

1561346037401.png

4) 反调试器反MS工具

1561346358463.png

5) 通过API反调试

1561346554057.png

6) PEB结构反调试

1561347170793.png

获取资源

1561347499125.png

资源解码,该处应该为配置文件

1561347666319.png

再次检测avp.exe、bdagent.exe、bdwtxag.exe、dwengine.exe进程,在后边代码中,还存在多次简单的反调试,不过利用论坛调试器可以直接略过

第二次解密运行

根据配置文件多次解密资源文件,并拷贝,每次拷贝0x314的大小,拷贝0x87次,解密前

1561348462016.png

重新排列解码后为一PE文件

1561349191726.png

再次以挂起的形式创建进程

1561349744650.png

利用CreateSection注入代码

1561432969799.png

木马文件分析

得到上边的PE文件,IDA查看,发现一个很简单的代码填充,编写一个简单脚本过掉

1561434347332.png

动态加载所需dll

1561356154582.png

查看权限,提权

1561356338703.png

获取用户名并且遍历注册表SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall下的所有子键,查看是否存在UninstallString的项,以此获取计算机安装的软件信息

1561359627016.png
1561359762573.png
1561359274086.png

OEL操作,可以看到PWDFILE0YUIPKDFILE0YUICRYPTED0YUI1.0这样的字样

1561425593448.png

循环调用,获取各种FTP各种信息

1561426260390.png
1561426287703.png
1561426583869.png

发送所得信息到 http://vman23.com/ab4/gate.php

1561428738041.png

之后与http://vman23.com/ab4/ab4.exe通信,获取ab4.exe

1561430514617.png
1561430573731.png

写入文件,并执行,由于该链接已失效,所以不能知道该exe文件作用

1561430754986.png
1561430825255.png

扩大战果

尝试爆破该计算机其他用户,同样获取信息,并发送

1561431638254.png

清理痕迹

最后创建bat文件,并执行,删除该文件和bat文件。

1561432410192.png
1561432429935.png

总结

当调试完毕之后,发现还是很简单的。练下基本功,回顾一下IDA脚本和自己的耐心值还是有帮助的。

附件中为样本和IDA python脚本
sample.zip (283.19 KB, 下载次数: 129)

免费评分

参与人数 79吾爱币 +65 热心值 +73 收起 理由
zch333333 + 1 谢谢@Thanks!
终于加入了 + 1 + 1 学习
haonaner + 1 用心讨论,共获提升!
macsun + 1 + 1 热心回复!
zq_hac + 1 用心讨论,共获提升!
fei8255 + 1 + 1 用心讨论,共获提升!
Towneast + 1 + 1 谢谢@Thanks!
Eric1 + 1 + 1 谢谢@Thanks!
N0LL + 1 + 1 谢谢@Thanks!
Genet + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
yaoyao7 + 1 + 1 我很赞同!
niezian + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
细雨慰风尘 + 1 + 1 热心回复!
19680715 + 1 + 1 谢谢@Thanks!
明世隐 + 1 我很赞同!
arvin_kings + 1 我很赞同!
SUMMER、 + 1 用心讨论,共获提升!
道极承天 + 1 + 1 用心讨论,共获提升!
2673 + 1 + 1 热心回复!
月光下的白狐 + 1 我很赞同!
CN丶AotY + 1 + 1 用心讨论,共获提升!
冰海无涯 + 1 + 1 用心讨论,共获提升!
假笑 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
yzhqzl + 1 + 1 用心讨论,共获提升!
nywjj + 1 + 1 热心回复!
songxiaofeng + 1 + 1 用心讨论,共获提升!
暗中观察的萌新 + 1 + 1 热心回复!
Cyrus_EP + 1 + 1 鼓励转贴优秀软件安全工具和文档!
lwjlove1234 + 1 + 1 我很赞同!
邵小陌 + 1 + 1 用心讨论,共获提升!
xj2019 + 1 + 1 很好
学无止境no1 + 1 + 1 用心讨论,共获提升!
少爷灬小贝 + 1 + 1 我很赞同!
琉璃狐 + 1 谢谢@Thanks!
atsw + 1 我很赞同!
syxiachun + 1 我很赞同!
lyslxx + 1 + 1 我很赞同!
我吾爱破解账号 + 1 + 1 我很赞同!
liubaoze + 1 + 1 我很赞同!
叶隽 + 1 学习到了,感谢
cpj1203 + 1 谢谢@Thanks!
欧皇非皇 + 1 + 1 热心回复!
一杯只姝小屁 + 1 热心回复!
陈世界 + 1 + 1 谢谢@Thanks!
无心戏子 + 1 + 1 用心讨论,共获提升!
daniel7785 + 1 谢谢@Thanks!
静叶流云 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
hzbwer + 1 + 1 看不大懂啊哈哈哈
drakpj + 1 + 1 虽说看不懂,还是感谢楼主分享
poisonbcat + 1 + 1 谢谢@Thanks!
xgs14569 + 1 + 1 这么认真的男人就是帅气
xiong_online + 1 + 1 用心讨论,共获提升!
Lugia + 1 + 1 谢谢@Thanks!
毛新航 + 1 我很赞同!
siuhoapdou + 1 + 1 谢谢@Thanks!
bricher9988 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
only998 + 1 用心讨论,共获提升!
brIckZ + 1 热心回复!
weiaiyao + 1 + 1 已经处理,感谢您对吾爱破解论坛的支持!
Ynah + 1 + 1 我很赞同!
娃娃菜啊 + 1 热心回复!
laughingsir38 + 1 + 1 热心回复!
svtbs + 1 热心回复!
心比天傲 + 1 + 1 我很赞同!
秋名山掌门人 + 1 + 1 热心回复!
失忆的氢 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
天空藍 + 1 + 1 期待更多
wmsuper + 3 + 1 谢谢@Thanks!
自强 + 1 + 1 用心讨论,共获提升!
tony198911 + 1 + 1 用心讨论,共获提升!
forfor + 1 用心讨论,共获提升!
独行风云 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
you920928 + 1 + 1 我很赞同!
zt185 + 1 + 1 我很赞同!
吾爱小洪 + 1 + 1 我很赞同!
墨辰 + 1 + 1 谢谢@Thanks!
waltzofjack + 1 + 1 我很赞同!
sw6108251 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
liphily + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| Assassin_ 发表于 2019-6-26 09:55
willJ 发表于 2019-6-26 09:46
楼主,有个图裂了,能不能处理下。"资源解码,该处应该为配置文件"这句话下面的图。

感谢,已处理,之后会输出更多分析贴和一些破解贴,为社区知识共享做些事情。
 楼主| Assassin_ 发表于 2019-6-28 07:26

这是该木马利用jmp乱序后ida截的图,不过可以开启run跟踪,这样可以防止在后边分析时,跳的头晕
willJ 发表于 2019-6-26 09:46
楼主,有个图裂了,能不能处理下。"资源解码,该处应该为配置文件"这句话下面的图。
西元世纪爱 发表于 2019-6-26 10:36
感谢分享经验
安尼大大 发表于 2019-6-26 10:37
强大佬木马
hinome 发表于 2019-6-26 11:08
学习了。这个赞啊
zt185 发表于 2019-6-26 11:46
学习了好教程,楼主好强大!
you920928 发表于 2019-6-26 11:59
非常详细,感谢楼主分享干货
feob 发表于 2019-6-26 12:24
问下这个能杀毒吗
20175156 发表于 2019-6-26 12:39
我这辈子都看不懂这些了 很后悔
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-22 16:30

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表