警惕「永恆之藍」抓雞工具包里的後門
背景
前幾天晚上閑來無事,朋友給了我一個445批量工具,可能有後門程序,讓我分析一下。經過分析我發現後門位於dll文件中,抓雞大牛們要小心了。
分析過程
文件結構如下:
程序的運行過程很簡單,運行bat文件,就是掃描445埠,然後利用eternalblue攻擊,再載入payload的dll文件。那麼後門在哪呢?
在這個dll文件中,大魚吃小魚。好,分析一下這個dll文件,沒加殼。看下dll入口函數:
這是dllmain函數:
我們可以看到調用了sub_10001160()這個函數,跟一下看看:
這是什麼意思呢?增加賬號可以理解,下邊的Sleep,WinExec這是要幹什麼?我們讓程序sleep,接著執行c:usersm.exe這個文件。這個m.exe是怎麼來的,可以看到上邊有個調用sub_100001020(),跟進去看一下:
從這個網站上下載xzz.exe文件,然後再執行,看看這個網站有什麼東西。
東西不少,下載xzz.exe分析一下。首先釋放如下文件,並執行這些文件。
反編譯888.exe,發現,888.exe從資源CPP里讀取文件,寫入到磁碟里,名字是隨機數字的dll,就是圖中的5586317.dll,也是老思路了。
利用dll載入工具,首先載入運行dll文件,之後創建文件並運行w3wp.exe。
利用w3w.exe載入5586317.dll,創建服務。
反編譯5586317.dll,可以看到動態載入各種dll,動態調用函數,免殺常用手段。
創建系統服務,名字是w3wp,描述為Microsoft Corporationot。發起網路連接,遠控反彈。
反彈到8881埠w3wp.exe發起的,反彈到6543埠是svchost.exe*32發起的。
可以看到svchost也載入了5586317.dll文件 ,另一個svchost載入了Mick.exe文件。
反編譯Mick.exe,簡單分析一下。發現這個程序在c盤根目錄記錄了log,也寫入了服務,反彈埠。
我們可以看到Mick.exe是用於守護的。守護w3wp.exe進程。一旦殺掉w3wp進程,w3wp還會啟動。
總 結
大體的關鍵文件分析完了,這個工具包里的dll文件在完成表面的增加賬號任務後,會接著進行後門安裝從黑客網站上下載xzz.exe文件,釋放木馬程序安裝服務,並且有守護進程。
* 本文作者:msx2009,轉載請註明來自FreeBuf.COM
※MOTS攻擊技術分析
※美軍網路戰探尋:走近賴特-帕特森空軍基地網路空間研究中心
※如何用HERCULES繞過殺軟
※基於bro的計算機入侵取證實戰分析
TAG:FreeBuf |
※經典永恆的雞蛋韭菜餡,做餃子、做包子、做水煎包!
※永恆的叉葉木
※街怕:弔帶連衣裙搭配,女孩子心頭的永恆之愛!
※吹口氣就能關掉的小夜燈,帶給你黑暗裡永恆的安全感!
※永恆的煩惱之去黑頭
※警察的除夕夜,永恆不變的打開方式!
※新的挖礦攻擊再次利用永恆之藍漏洞感染伺服器
※洛基帶回神庭的六把神器,雷神之錘為何比永恆之槍還要強大
※黑白配,包裝中永恆的經典
※《梅子雞之味》愛在永恆顫抖的手
※永恆之愛——「桔梗」
※時尚永恆之色 黑色 准王妃梅根為你示範黑色之美
※安卓版「永恆之藍」病毒揭秘
※真愛環抱永恆 鑽石璀璨閃耀
※尋找永恆的「彩蛋」
※蠕蟲病毒利用「永恆之藍」漏洞傳播
※萬界神主大結局:安雪灰飛煙滅,永恆神甲被摧毀,安陽女神被擄走
※《毀滅戰士永恆》新概念圖 熾熱的地獄之門
※這段嬸嬸和侄子的禁忌之戀是給永恆愛情的一記響亮耳光
※純色尖頭鞋既百搭又是永恆的時尚!