一款简单的反向shell恶意样本分析

最新推荐文章于 2025-12-02 09:28:38 发布
原创 最新推荐文章于 2025-12-02 09:28:38 发布 · 411 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文分析了一款简单的反向shell恶意样本,涉及静态和动态分析。样本在满足特定条件时启动一个shell,通过解密获取通信URL,利用gethostbyname获取主机信息,创建进程进行远程交互。该样本要求文件名特定,主要用于实现远程控制。

一款简单的反向shell恶意样本分析

样本来自《恶意软件分析实战》第九章的的实验二。

静态分析

基本信息

查看样本信息,发现程序没有加壳,使用VC++基编写

在这里插入图片描述
编译时间2011/041/30

在这里插入图片描述

接着查看字符串,没有发现有用的信息,如下

在这里插入图片描述

静态分析

使用ida分析来到入口函数,发现初始化了一堆参数

在这里插入图片描述

接着调用GetModuleFileNameA函数获取样本执行的路径,并判断当前样本的名称是否为ocl.exe,如果不是则退出

在这里插入图片描述

如果相同则创建socket链接,否则退出。这里进入创建socket链接

在这里插入图片描述

在调用gethostbyname函数前,会调用sub_401089函数解密出要获取的name。其中ebp=var_1B0的参数是在初始化的时候就给定了一个字符串,如下

在这里插入图片描述

整理后得到1qaz2wsx3edc,参数ebp+var_1F0的值是一个经过加密的数组

在这里插入图片描述

这里将数组导出备用,导出方式为

在这里插入图片描述

这里导出为C数组即可,如下

在这里插入图片描述
经过分析函数sub_401089可知

  • 获取key=1qaz2wsx3edc的长度 slen,
  • 循环32次,每次获取一个key[index%slen]^(index+data[i])

如下

在这里插入图片描述

解密后的字符串为

www.practicalmalwareanalysis.com

接着调用gethostbyname获取主机信息并调用函数sub_401000创建一个进程,其中进程的输入输入控制是连接的socket对象,创建的进程就相当于一个shell,负责和远程进行交互,如下

在这里插入图片描述

创建进程完成后,开始循环等待,每隔0x7530运行一次。

在这里插入图片描述

动态分析

程序运行后,首先判断运行的程序名称是否为ocl.exe如下

在这里插入图片描述

这里需要过掉这个判断,运行到je

00401240 | 74 0A              | je lab09-02.40124C

ZF=0 -->ZF=1之后来到调用解密函数位置对应的参数分别是

在这里插入图片描述
需要解密的数组如下

在这里插入图片描述

解密后的数据

在这里插入图片描述

之后程序会创建一个进程,这个进程负责和远程进行通信。

程序首先初始化了key,判断程序是否为ocl.exe如果是则运行,如果不是则退出。这里选择path掉这个校验,创建一个socket,之后解密出gethostbyname的参数name获取对应的name的host信息,之后创建一个进程,这个进程的输入和输入都是通过创建的socket来通信,这个程序运行之后每隔0x7530运行一次。

总结

这个样本运行要求修改样本名称为ocl.exe才能运行,并且程序是一个反向shell控制程序,通过运行时解密出url并通过gethostbyname获取通信信息。通过设置CreateProcess函数的StartupInfo中的input output error为sockcet对象来实现接收远程的输入。

IOCs

URL

www[.]practicalmalwareanalysis.com

sha256

F153DFACEC09DD69809C3BBF68270A38EE3701F44220C7BF181C14A68C138133
恶意软件分析大合集
Sumarua的博客
05-09 1069
这个列表记录着那些令人称赞的恶意软件分析工具和资源。受到 awesome-python 和 awesome-php 的启迪。
恶意代码--windows脚本wscript恶意样本逆向分析
关注互联网安全的小虾米一枚
08-17 3079
0x01 基本分析 File: C:\Users\luke\Desktop\finance\inv_36f5e7.js Size: 5942 bytes Modified: 2016年8月17日, 18:54:00 MD5: C533B463D5598971BB32C1F743DDCC00 SHA1: C428931655EDE93A162B347525F5095FA78A454C C
恶意代码--微软jscript程序样本逆向分析
关注互联网安全的小虾米一枚
02-13 2675
信息安全,恶意代码分析,钓鱼邮箱附件。
HRAT:反向Shell和Keylogger恶意软件
04-22
赫拉特 反向Shell和Keylogger恶意软件。 我做了这个简单的项目,作为研究恶意软件分析时所学知识的实际应用。 对于任何开始研究恶意软件分析的人来说,看到一个真正的简单恶意软件都是很有用的,这样他就可以想象自己正在研究什么。
Shell反向Shell
corinne0623的博客
09-03 484
Shell 是一个用 C 语言编写的程序,它是用户使用 Linux 的桥梁。Shell 既是一种命令语言,又是一种程序设计语言。 Shell 是指一种应用程序,这个应用程序提供了一个界面,用户通过这个界面访问操作系统内核的服务。 Shell 编程跟 JavaScript、php 编程一样,只要有一个能编写代码的文本编辑器和一个能解释执行的脚本解释器就可以了。 Linux 的 Shell 种类众多,常见的有: Bourne Shell(/usr/bin/sh或/bin/sh) Bourne Again She
第一个shell脚本-监测恶意登录远程服务器
weixin_34162629的博客
04-22 284
最近学习到linux系统日志和计划任务,下班回家的地铁上有了灵感,尝试编写了自己的第一个脚本,监测如果有恶意登录服务器的话,发邮件通知管理员。暂时还没学习到如何发邮件给管理员,目前只是命令行的提醒和日志记录;脚本的内容也比较简单,都是学习过的基本知识,活学活用。1、首先编写一个脚本:定义一个变量LT,变量的值为lastb命令列出的行数(即无效登录的次数,如有恶意登录的话行数会变多);执行一个if判...
28、多态性简单反向 shell 分析
最新发布
jump7的博客
12-02 7
本文深入分析了一种多态性简单反向shell二进制文件,结合静态与动态分析方法,揭示其绕过签名检测的机制。通过符号表分析、反汇编对比、EDB调试及寄存器与栈状态追踪,详细解析了套接字、连接、dup2和execve等系统调用的多态实现方式。文章还总结了多态代码的优缺点,并提出了应对多态恶意代码的建议,为安全研究人员提供了一套完整的分析思路与技术参考。
恶意代码分析实战 Lab19
baidu_41108490的博客
06-10 881
lab19-011IDApro打开看到解码代码如下od调试的时候显示说无法作为及时调试器调试,所以只能用windbg,虽然麻烦了点解码后程序先跳到003a0464接着在464处,马上调用003a03bf函数步入查看程序又调用003a039e函数步入查看函数,这段函数很短,可以很容易看出来是在得到kernel32的base地址,看30h是的搭配peb结构地址,1ch是得到InInitializati...
首款集成GPT-4的恶意软件MalTerminal,可动态生成勒索软件与反向Shell
seoppg的博客
09-28 657
网络安全领域出现重大突破:研究人员发现已知最早集成大语言模型(LLM)的恶意软件MalTerminal。该样本利用GPT-4动态生成勒索代码或反向Shell,标志着攻击技术质的飞跃。同时,黑客正利用LLM绕过邮件安全检测,通过隐藏提示词欺骗AI扫描器,并将钓鱼攻击伪装成正常商业邮件。趋势科技报告显示,AI建站平台正被用于托管钓鱼网站,使攻击成本大幅降低。这些发现凸显AI技术正被网络犯罪快速武器化,给防御带来全新挑战。
8、恶意软件分析全解析:从类型到PE文件格式
wdx0123456的博客
09-14 43
本文全面解析了恶意软件分析的各个环节,涵盖常见恶意软件类型如特洛伊木马、勒索软件、APT等的特点与危害,并介绍了静态与动态分析方法及其工具应用。文章深入探讨了PE文件格式结构,包括DOS头、节表和常见节的作用,揭示了其作为恶意代码载体的可能性。同时,阐述了恶意软件检测策略、反分析技巧及样本获取途径,提供了完整的分析流程与注意事项,帮助安全研究人员有效识别、分析和应对各类恶意软件威胁。
逐行分析PowerShell 恶意代码
weixin_33982670的博客
09-19 1012
本文讲的是逐行分析PowerShell 恶意代码,PowerShell恶意软件作者用于在受害者计算机上获得立足点的首选程序。PowerShell被经常使用的一个原因是因为它能够更改操作系统和系统资源。它根据具体的功能将本机的Windows命令行提升到了另一个级别。一旦恶意进程能够以提升的权限执行PowerShell命令行,那么该恶意软件的能力将变得“无...
一个简单反向shell
weixin_33941350的博客
03-18 409
这个是在《Python***学习笔记:从HelloWorld到编写PoC(上)》 中看到的一个反向shell代码,因为本身我是学python3的,所以我把代码改成的python3。同时也做了编码方面一些小改动,使这个代码在linux和windows下都可以运行。udp_server.py#!/usr/bin/python3 __author__='Administrato...
操作系统之文件管理:1、初识文件管理
千寻瀑
10-11 785
1、初识文件管理思维导图文件的定义关于文件系统我们要讨论的几个问题?1、文件属性2、文件内部的数据组织形式(存储结构)3、文件之间的组织形式4、操作系统向上层提供的接口(功能)5、文件如何存放在外存?(物理结构)6、其他文件管理功能 PS:本篇仅是概述,对文件系统的初步介绍,有需要请看链接博客 思维导图 文件的定义 文件:一组有意义的信息/数据的集合 关于文件系统我们要讨论的几个问题? 1、文件属性 2、文件内部的数据组织形式(存储结构) 本质上来看:文件内部数据的组织形式其实就是文件的逻
恶意样本分析手册——理论篇
iopoint的专栏
07-27 875
0x00写在最前面 开场白:快报快报!今天是2017 Pwn2Own黑客大赛的第一天,长亭安全研究实验室在比赛中攻破Linux操作系统和Safari浏览器(突破沙箱且拿到系统最高权限),积分14分,在11支队伍中暂居 Master of Pwn 第一名。作为热爱技术乐于分享的技术团队,我们开办了这个专栏,传播普及计算机安全的“黑魔法”,也会不时披露长亭安全实验室的最新研究成果。 安全领域博大精深,很多童鞋都感兴趣却苦于难以入门,不要紧,我们会从最基础的内容开始,循序渐进地讲给大家。技术长路漫漫,我们携.
漫谈shell脚本
weixin_34054866的博客
06-14 117
. 关于shell shell,英文是壳,外壳的意思,至于在计算机中,同样有这样的一层意思,也就是可以将shell看做是计算机系统封装的一层外壳,来供用户使用,因此,用户可以通过操纵shell也就是输入一系列命令来达到各种需要的目的,那么shell也可以被称为命令解释器。 在shell下,用户可以键入一行命令而shell解释一行来使其依次执行不同的任务,这种方式...
恶意样本分析流程记录
weixin_42877778的博客
01-15 3452
拿到一个恶意样本,要先对其进行静态分析了解其基本函数,推测它的功能,然后再进行动态分析测试样本执行,学习《恶意样本分析实战》并在此记录对于一个恶意样本应该进行的流程分析。 反病毒引擎扫描 在拿到一个恶意样本时可以先使用多个反病毒软件扫描这个文件, ...
恶意样本分析入门与实战
pandazhengzheng的博客
03-05 2076
恶意软件分析入门与实战资源
shell脚本自动拉黑恶意试图攻击IP
qq_20763435的博客
06-14 1388
(本文章只是用于个人用时查看,有问题请勿喷!觉得行可供参考。)     首先我来说下配置这个shell脚本的原理,为什么要配置这个脚本.   在Linux中,虽然系统自带有iptables防火墙,但是这只能说服务器相对安全,但不能说服务器非常安全。当服务器配置了防火墙,但是还是有人恶意对我们的端口进行扫描,进行攻击。 如果我们允许22端口对外网所有人访问,如果我们没有做VPN,比如我...
CreateProcess 重定向CMD实现反弹shell
hambaga的博客
03-01 530
这段代码比我还老了,哈哈~ 功能很简单,就是一直尝试向某个ip:port反弹shell,C2用nc就能接收这个反弹shell。 // RedirectCmd.cpp : Defines the entry point for the console application. // 还原《恶意代码分析实战》第九章练习样本2 #include "stdafx.h" #include <WinSock2.h> #include <Windows.h> #pragma comment(l
基于DNS隧道的内网攻防技术实战分析
并通过实际操作案例详细展示了如何在Kali Linux平台上部署dnscat2服务端,在Windows 7系统上使用powercat工具建立反向shell连接,从而实现跨网络边界的远程控制。整个过程结合了Ruby语言环境配置、DNS协议特性分析...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值