0x00 项目简介
https://github.com/ByPassAVTeam/ShellcodeLoader免杀项目可以生成免杀木马
![[逆向分析] 免杀项目藏有后门](http://cn-sec.com/wp-content/uploads/2022/10/2-1666672715.png "[逆向分析] 免杀项目藏有后门")
项目主要部分是个带mfc框架的shellcodeloader加上使用冷门函数(PfxInitialize)反沙箱,这种东西只能说躲得过初一躲不过十五。还配了一个自动化配置shellcode的程序,后门就在这个自动化配置shellcode的工具里,LoaderMaker.exe。
0x01 样本分析
![[逆向分析] 免杀项目藏有后门](http://cn-sec.com/wp-content/uploads/2022/10/6-1666672717.png "[逆向分析] 免杀项目藏有后门")
导入表中OpenProcess,CreateToolhelp32Snapshot,一股进程注入的味道扑面而来。
![[逆向分析] 免杀项目藏有后门](http://cn-sec.com/wp-content/uploads/2022/10/7-1666672719.png "[逆向分析] 免杀项目藏有后门")
explorer.exe内存字符串中
![[逆向分析] 免杀项目藏有后门](http://cn-sec.com/wp-content/uploads/2022/10/8-1666672722.png "[逆向分析] 免杀项目藏有后门")
后门藏在哪里了呢,第一反应是tls,第二反应是cruntime初始化阶段。但既然咱们上面已经看到了可以的OpenProcess和CreateToolhelp32Snapshot,就不需要那么麻烦一个一个找了,找到CreateToolhelp32Snapshot,然后看一眼交叉引用,对着代码一顿分析。
通过函数名找pid![[逆向分析] 免杀项目藏有后门](http://cn-sec.com/wp-content/uploads/2022/10/8-1666672724.png "[逆向分析] 免杀项目藏有后门")
![[逆向分析] 免杀项目藏有后门](http://cn-sec.com/wp-content/uploads/2022/10/7-1666672726.png "[逆向分析] 免杀项目藏有后门")
栈字符串解密->get_pid->sub401290,接着看这个sub_401290
栈字符串解密->动态获取VirutalAllocEx->动态获取WriteProcessMemory->alloc+write将shellcode1写入内存->创建一块可执行内存并写入sub_41a8b0处的shellcode2->执行shellcode2。shellcode1大小经典929,cs stager基本没跑了
其实看到这里基本已经差不多了,按一般套路来说shellcode2的功能就是createthread、apc、setthreadcontext三选一,但是既然分析还是要分析完,继续看这个shellcode什么功能
![[逆向分析] 免杀项目藏有后门](http://cn-sec.com/wp-content/uploads/2022/10/7-1666672728.png "[逆向分析] 免杀项目藏有后门")
push 0x33+far ret
![[逆向分析] 免杀项目藏有后门](http://cn-sec.com/wp-content/uploads/2022/10/4-1666672729.png "[逆向分析] 免杀项目藏有后门")
先调sub_A3然后返回值作为函数指针调用,那么sub_A3就是动态获取函数了,那么把sub_A3单独提取出来,跑了一下,发现获取到的是NtCreatethreadEx,那么到此就结束了。
一通交叉引用,发现后门居然是在最开始标注的printf里![[逆向分析] 免杀项目藏有后门](http://cn-sec.com/wp-content/uploads/2022/10/7-1666672731.png "[逆向分析] 免杀项目藏有后门")
原文始发于微信公众号(Pik安全实验室):[逆向分析] 免杀项目藏有后门
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论