警惕「永恆之藍」抓雞工具包里的後門

背景

前幾天晚上閑來無事，朋友給了我一個445批量工具，可能有後門程序，讓我分析一下。經過分析我發現後門位於dll文件中，抓雞大牛們要小心了。

分析過程

文件結構如下：

程序的運行過程很簡單，運行bat文件，就是掃描445埠，然後利用eternalblue攻擊，再載入payload的dll文件。那麼後門在哪呢？

在這個dll文件中，大魚吃小魚。好，分析一下這個dll文件，沒加殼。看下dll入口函數：

這是dllmain函數：

我們可以看到調用了sub_10001160()這個函數，跟一下看看：

這是什麼意思呢？增加賬號可以理解，下邊的Sleep，WinExec這是要幹什麼？我們讓程序sleep，接著執行c:usersm.exe這個文件。這個m.exe是怎麼來的，可以看到上邊有個調用sub_100001020(),跟進去看一下：

從這個網站上下載xzz.exe文件，然後再執行，看看這個網站有什麼東西。

東西不少，下載xzz.exe分析一下。首先釋放如下文件，並執行這些文件。

反編譯888.exe，發現，888.exe從資源CPP里讀取文件，寫入到磁碟里，名字是隨機數字的dll，就是圖中的5586317.dll，也是老思路了。

利用dll載入工具，首先載入運行dll文件，之後創建文件並運行w3wp.exe。

利用w3w.exe載入5586317.dll,創建服務。

反編譯5586317.dll，可以看到動態載入各種dll，動態調用函數，免殺常用手段。

創建系統服務，名字是w3wp,描述為Microsoft Corporationot。發起網路連接，遠控反彈。

反彈到8881埠w3wp.exe發起的，反彈到6543埠是svchost.exe*32發起的。

可以看到svchost也載入了5586317.dll文件 ，另一個svchost載入了Mick.exe文件。

反編譯Mick.exe，簡單分析一下。發現這個程序在c盤根目錄記錄了log，也寫入了服務，反彈埠。

我們可以看到Mick.exe是用於守護的。守護w3wp.exe進程。一旦殺掉w3wp進程，w3wp還會啟動。

總 結

大體的關鍵文件分析完了，這個工具包里的dll文件在完成表面的增加賬號任務後，會接著進行後門安裝從黑客網站上下載xzz.exe文件，釋放木馬程序安裝服務，並且有守護進程。

* 本文作者：msx2009，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！