在办公室玩游戏的时候我对面坐着的人突然说他的社交账号有人给他发了一个文件,名称是"每日盈亏.xlsx .exe" ,然后还贴心的给exe换了一个图标......
当时着迷玩游戏也没有管,今天晚上闲的没事又想起来木马那件事了,逆向分析一下,当作茶余饭后的娱乐吧.这个木马现在是什么情况呢,就是10月8号我同学给我的那一天,情报威胁平台就已经标记了,可惜当时没有分析一下...
10月21日,被黑客鼓励的一天....我只想着去分析一下木马,但是我忘记木马是存活的,我在认真看汇编结果一个弹窗贴我脸上了,大哥人不错,还贴心的把我机器下线了......
好了,接下来让我看看这个木马到底是怎么回事.先在虚拟机里面运行一下看看什么效果.
纳尼?进程还要伪装?这做木马的是个80年代的中国人吧...我爸现在都不玩qq游戏了,你就不能先进一点吗老哥
这个东西是隐藏文件!只有从任务管理器才能追踪过去,自己打开这个路径是没有的! 我看到这3个文件心里瞬间凉凉了,怎么看着像是做的免杀处理呢?这要是双击运行了我同学可能就成肉鸡了
这种东西先查一下壳,毕竟为了免杀加壳说不定也是能过得,不然不能逆.
好了,木马的功能实现完成,开始逆一下看看效果,之前看到运行程序是32位的,那我们用IDA32打开.
等一下!!我有个疑问,就是我们想看木马的行为应该是逆向发给我们的还是运行后生成的exe? 我先说答案,就是要看后者!
我们先来看一下发送给我们的exe,注意这个exe是64位的!我们使用ida64打开,看一下木马信息.F5寄了,只能看汇编了呜呜呜
首先获取到的信息就是sha256和md5,不妨就去查一下
看到这里我感觉这个exe主要目的就是将黑客的真木马下载到本地,而且为了防止被删除设置了开机自启,每次开机都要检测木马文件是否存在.并且将下载的恶意木马设置为隐藏.
看到上面这个win函数,用于在托管和非托管代码之间进行数据的转换和内存的分配、释放。类似于shellcode-loader,在加载之前先分配内存.
看这里表示资源管理器,其可在运行时提供对于特定文化资源的便利访问.
看到这里,看出exe的行为,先下载再解压为exe,最后运行.
gg了兄弟们,刚刚被弹窗了,木马是活的!!!呜呜呜 吓死了,
然后深入交流了一下,大哥人不错,临走还帮我把马子下线了, 可是我在分析啊哈哈哈
小插曲小插曲,第一次被别人远控,爽!!!
看样子还有反虚拟机操作
看到了,跟我猜测的一样,是从一个oss存储桶中去下载真正的远控木马达到持久化的控制
到此为止,第一个文件就先到这里,基本的行为已经分析完了,重要的是第二个文件,开始逆向分析
在导入一个文件的时候我习惯性的先看import,用到了win的什么api,大体一看,有操作注册表的,有定时任务的,有创建进程的,创建启动项的等等...还用看吗.....纯纯木马文件啊
第二步我习惯看一下Strings,看看有没有什么线索,查询一下关键字
操作系统有了,创建计划任务有了,修改注册表有了....距离提权还远吗...
F5大法
还是可以看到部分黑客的信息的,比如E盘文件,大哥我真不是有意的
看这里对文件进行操作,首先开辟一块内存,然后检索进程是否已经运行了木马文件,如果运行则ret,否则进入下一个函数. 将木马文件名称中的反斜杠等不支持字符删去,最后将木马进程修改为的当前的进程.
看这里,加载你的shell32.dll你怕不怕,不怕就给你抹盘了哦,
系统文件shell32.dll是存放在Windows\System32系统文件夹中的重要文件,通常情况下是在安装操作系统过程中自动创建的,对于系统正常运行来说至关重要。在正常情况下不建议用户对该类文件进行随意的修改,它的存在对维护计算机系统的稳定具有重要作用。
我大体解释一下,这几个就是前几个字母比如logic,然后去比较文件名的头几个字符,如果匹配到了,那就是你们最喜欢的goto到LABEL_55函数处.那么这个函数功能是什么呢?
这个大分支大概是根据不同的功能使用不同的二进制文件
看上面图片,找到了老哥服务器IP和UUID,可惜了老哥,我一会会做个域前置或者云函数的,没想到直接裸ip...
为什么??老哥ip是干净的?为什么木马是恶意的,但是你的公网ip没被检测?因为没有反链行为吗?小白不懂,大佬求教
到点了,今天先到这里吧.我是个小白,希望看文章的人轻点喷,不足之处希望评论区指出.
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
