1、分析在文件Lab07-01.exe中发现的恶意代码。
prb.png
检查硬编码HGL345的互斥量是否存在,如果存在则退出,否则CreateMutexA创建互斥量,保证同时只有一个线程执行。
prb2.png
创建名为Malservice的新服务到服务控制管理器,通过服务实现持久化。互斥体硬编码和创建的HGL_345是基于主机的特征。
prb3.png
可以看到使用浏览器代理Internet Explorer 8.0访问urlhttp://www.malwareanalysisbook.com
这是基于网络的特征。
prb4.png
查看结构体,有一个SYSTEMTIME的结构体。
prb5.png
prb6.png
1异或自身edx为0,2,3,4,5赋值给结构体中的元素,步骤6将834h赋值给year,十进制的2100。
prb7.png
创建一个计时器,直到2100年1月1日,开启20个线程循环下载http://www.malwareanalysisbook.com
2、分析Lab07-02的恶意代码
1、这个程序如何完成持久化驻留?
2、这个程序的目的是什么?
3、这个程序什么时候完成执行?
查看导入表
07-02-1.png
从ole32库中导入了OleInitialize函数,这个程序可能使用了COM功能。
继续查看strings,存在可疑URLhttp://www.malwareanalysisbook.com/ad.html
Tips:这里需要设置让strings页面可以读取unicode编码的字符串。
07-02-2.png
跟进main函数
main.png
CLSID是0002DF01-0000-0000-C000-000000000046 (表示Internet Explorer)
IID是D30C1661-CDAF-11D0-8A3E-00C04FC9E26E (表示IWebBrowser2)
riid.png
CoCreateInstance执行结果保存在ppv,一旦结构体从调用返回,一旦结构体从CoCreateInstance处返回,COM客户端调用位于这个结构体某处偏移的一个函数,见下图。
navigate.png
1处拿到返回的结构体指针,2处将eax解引用并赋给edx,3处通过偏移调用IWebBrowser2Vtbl中的第12个函数Navigate,可以在struct页面尝试添加一个结构体(快捷键Insert)。每个函数4字节,第一个函数在0位置。
struct.png
该函数被调用后,Internet Explorer将导航至http://www.malwareanalysisbook.com/ad.html。该函数执行一些清理函数,但是没有持久化驻留,仅简单显示一个广告页面。
分析Lab07-03的EXE和DLL文件
对于这个实验,我们在执行前获取到恶意的可执行程序,Lab07-03.exe,已经DLL,Lab07-03.dll。声明这一点很重要,这是因为恶意代码一旦运行可能发生改变。俩个文件在受害者机器上的同一个目录下被发现。如果你运行这个程序,你应该确保俩个文件在分析机器上的同一个目录中。一个以127开始的IP字符串(回环地址)连接到了本地机器。(在这个恶意代码的实际版本中,这个地址会链接到一台远程机器,但是我们已经将它设置成连接本地主机来保护你。)
(warning:这个实验可能对你的计算机引起某些损坏,并且可能一旦安装就很难清除。不要在一个没有事先做快照的虚拟机中运行这个文件。)
这个实验可能比前面的那些有更大的挑战。你将需要使用静态和动态方法的组合,并聚焦在全局视图中,避免陷入细节。
1.这个程序如何完成持久化驻留,来确保在计算机被重启后它能继续运行?
2.这个恶意代码的两个明显的基于主机特征是什么?
3.这个程序的目的是什么?
4.一旦这个恶意代码被安装,你如何移除它?
首先分析Lab07-03.exe文件,查看导入表,有很多文件操作。
07031.png
查看strings视图
07032.png
1是仿冒的dll,说明该文件存在仿冒系统关键dll的可能,2说明可能调用了Lab07-03.dll,用IDA Pro打开查看代码。
argc.png
首先用eax保存命令行参数的格式,如果参数的个数不是2,会直接退出,并且比较了argv[1]是不是WARNING_THIS_WILL_DESTROY_YOUR_MACHINE这样保证了恶意代码不会在虚拟机中被自动执行,属于反动态检测的一种手段。
argv.png
打开两个文件C:\Windows\System32\Kernel32.dll 和Lab07-03.dll映射到内存中。
map.png
接下来就是将C:\Windows\System32\Kernel32.dll 的导出表部分复制到Lab07-03.dll的导出表,这部分的操作需要对PE结构比较熟悉。
cpy.png
然后将Lab07-03.dll 复制到C:\\windows\\system32\\kerne132.dll将文件命名为和关键系统库相似的名称,进一步进行恶意行为。并跳转到loc_401806位置。先将参数C:\\*压栈,调用函数sub_4011E0。
copyfile.png
4011e0.png
该函数如下,主要是遍历C盘文件,第29行找到.exe结尾的文件,调用函数sub_4010A0。
4011.png
判断文件是不是以.exe结尾的逻辑主要在0x004013F6处。在0x004011E0和0x004013F6处设置断点,F9执行,查看栈上数据变化。可以看到这部分的执行逻辑和静态分析的结论一致。
4013f6.png
exe1.png
exe2.png
当结尾是.exe时候,不跳转,继续单步跟踪,运行到sub_4010A0函数。下面是伪代码。
4010a0.png
35行查找字符串kernel32.dll,37行调用qmemcpy进行复制,我们想要知道dword_403010位置是什么数据。继续跟进,光标放在dword_403010,使用快捷键A将此数据转换为string。
dword.png
covert.png
至此,程序功能清晰,就是将对kernel32.dll的调用,转换为kerne132.dll的调用,这样很多程序都会受到影响,很难清除。
动态调试发现比较字符串。之后使用repne scasb + rep movsd + rep movsb 内联实现 strcat
参考链接:
repne scasb + rep movsd + rep movsb 内联实现 strcat_hambaga的博客-CSDN博客
mm.png
copy22.png
分析Lab07-03.dll,查看导入表,有创建互斥体以及网络相关函数。
dll.png
查看strings,发现疑似恶意IP127.26.152.13还有几个其他可疑的字符串。
ip.png
跟进SADFHUHF字符串,可以看到这是一个互斥量名称硬编码,保证同一时刻只有一个恶意代码进程在执行。
sad.png
跟进127.26.152.13结构体sockaddr.data保存了host信息和端口信息。IP是127.26.152.13,端口是0x50(十进制80)
addr.png
111.png
buf中保存的是hello,发送这个字符串给C2,受害者已经上线,然后接收C2发送的命令,继续保存在buf中,检查buf的前五个字节是不是sleep如果是,跳出循环sleep60s,检查前四个字节是不是exec,如果是,使用CreateProcessA创建新的进程。关于此函数文档如下,lpCommandLine参数可以执行命令。说明此DLL文件带有后门功能。
https://docs.microsoft.com/zh-cn/windows/win32/api/processthreadsapi/nf-processthreadsapi-createprocessa
exec.png
Answer:
1、这个程序将自己复制到C:\windows\System32,并伪装成重要dll库,实际名称为kerna132.dll来执行持久化。
2、基于主机的特征是互斥量硬编码SADFHUHF,文件名kerna132.dll。
3、目的是执行持久化操作,并留下后门,可以执行sleep和exec命令。
4、程序很难被移除,可以从快照恢复。
网友评论