恶意联网程序的逆向分析

admin 2021年10月31日07:34:38逆向工程评论31 views954字阅读3分10秒阅读模式

恶意联网程序的逆向分析

扫一扫关注公众号,长期致力于安全研究

前言:针对联网程序的逆向分析



0x01 前期搜集

首先查看是否加壳。壳卒~

恶意联网程序的逆向分析

        查看导入表发现几个有意的函数,这些函数都是一些实现网络功能的API

InternetReadFileInternetCloseHandleInternetOpenUrlAInternetOpenA

为了进一步验证,用nc和apateDNS监听看一下,当恶意程序运行之后,成功看到了

GET /cc.htm HTTP/1.1User-Agent: Internet Explorer 7.5/pmaHost: www.practicalmalwareanalysis.com

恶意联网程序的逆向分析


0x02 IDA分析

既然可以确定这是一个联网的恶意程序,那就用IDA分析一下。

进入主函数之后,首先检查是否存在可用的internet连接

恶意联网程序的逆向分析

    

    当存在可用的inter连接后,进入401040这个函数里面,跟进去继续分析

    可以看到执行了InternetOpenA和InternetOpenUrlA这两个api,

    InternetOpenA设置User-Agent字段

    InternetOpenUrlA 用来打开一个句柄

    通过push传参的注释,可以清楚的看到User-Agent和URL内容

恶意联网程序的逆向分析

    

    继续分析,在代码最后有一个cmp,用来判断是否执行成功。

    (如果执行失败就跳到左下角的地方了,直接close关闭句柄)

    当执行成功的时候,就会跳到40109D处,开始执行InternetReadFile函数

    而参数lpBuffer就是保存内容,之后就在4010E5处开始比较前几个字节是否等于<!--,如果不相等就跳出去。

恶意联网程序的逆向分析


    之返回main函数,进行printf输出打印的%c就是html注释中解析的字符

最后将0xEA60 push进去了,执行了Sleep。

恶意联网程序的逆向分析


0x03 总结

该程序检查internet连接是否可用,之后下载了一个<!--开头的网页,这是HTML注释开头,这种通过注释隐藏指令的方法通常被攻击者利用,而普通用户打开的时候看起来就像一个正常的网页。


11111
微信搜索关注 "安全族" 长期致力于安全研究


下方扫一下扫,即可关注

恶意联网程序的逆向分析




本文始发于微信公众号(安全族):恶意联网程序的逆向分析

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年10月31日07:34:38
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  恶意联网程序的逆向分析 http://cn-sec.com/archives/399987.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: